Quanto custa um Pentest? Guia de precificação
TL;DR
O custo de um pentest depende de escopo (quantos alvos, profundidade), prazo, tipo (web, API, mobile, infra, Red Team) e senioridade do time. Preços muito baixos costumam significar scan automatizado mascarado como pentest. Avalie pelo entregável, não pelo preço.
"Quanto custa um pentest?" é a pergunta que toda área comercial recebe. A resposta honesta é: depende de muita coisa. Mas dá para destrinchar os fatores e dar uma resposta útil.
O que entra no preço
1. Escopo
O fator número 1. Quantos alvos? Quão complexos? Uma API REST com 30 endpoints é diferente de um marketplace com fluxo financeiro e múltiplos perfis de usuário.
2. Profundidade
Pentest "padrão" (testar OWASP Top 10 sobre uma aplicação) é diferente de pentest profundo (lógica de negócio, encadeamento de vulnerabilidades, abuso de fluxos). Profundidade exige mais dias-pentester.
3. Tipo de pentest
- Pentest web — geralmente o mais procurado
- Pentest de API — requer documentação ou bom reverse engineering
- Pentest mobile — exige skills específicas (instrumentação, reverse de binários)
- Pentest de infraestrutura interna — exige acesso à rede
- Active Directory — especialização
- Cloud — AWS/Azure/GCP, cada um com particularidades
- Red Team — outro patamar de complexidade e duração
4. Caixa-preta, caixa-cinza, caixa-branca
- Black-box: testador entra "às cegas", como um atacante externo. Mais realista, leva mais tempo.
- Gray-box: testador recebe credenciais e alguma informação. Otimiza tempo e cobertura. Padrão recomendado para a maioria dos casos.
- White-box: testador recebe acesso a código-fonte e arquitetura. Profundo, mas demanda esforço integrado com devs.
5. Prazo
Janela apertada (auditoria daqui a 2 semanas) tende a aumentar custo. Planejar com antecedência dá ao fornecedor melhor alocação e preço mais previsível.
6. Senioridade do time
Pentest é serviço técnico onde a diferença entre júnior e sênior é gritante. Um sênior encontra em 1 dia o que um júnior leva 4 — e encontra coisas que o júnior não encontra. Você paga, no fim, pela cabeça e pela experiência.
7. Entregáveis
- Relatório executivo (1-3 páginas, para liderança)
- Relatório técnico detalhado (cada finding com evidência, impacto, CVSS, recomendação)
- Apresentação para o time técnico e/ou liderança
- Retest após correção (essencial — exija que esteja incluso)
- Suporte para perguntas dos devs durante a correção
Sinais de que o preço está muito baixo
Atenção a propostas extremamente agressivas. Elas frequentemente significam:
- Scan automatizado vendido como pentest: Nessus + relatório bonito não é pentest.
- Pouco tempo de execução: 1-2 dias para um e-commerce inteiro é impossível fazer com qualidade.
- Sem retest: achar é metade do trabalho. Validar correção é a outra metade.
- Equipe júnior sem supervisão: falta de mentoria significa coisas óbvias passando.
- Relatório genérico: mesmos findings em todos os clientes.
Sinais de qualidade
- Pré-engagement detalhado com perguntas específicas sobre seu ambiente
- Proposta cita metodologias (PTES, OWASP, NIST SP 800-115) e as aplica
- Time citado com certificações como OSCP, OSEP, OSWE, CRTO, BSCP
- Relatório de exemplo (com dados anonimizados) disponível
- Retest incluído
- Disponibilidade para apresentar achados ao time técnico
- Disponibilidade pós-entrega para tirar dúvidas durante correção
Como pedir orçamento certo
Fornecedores sérios precisam dessas informações para precificar com responsabilidade:
- Tipo(s) de pentest desejado(s)
- Número e descrição dos ativos (URLs, escopo de IP, número de endpoints)
- Tipo de teste (caixa preta/cinza/branca)
- Janela de execução preferida
- Restrições conhecidas (não pode derrubar produção, horário limitado, etc.)
- Requisitos de compliance (LGPD, ISO, PCI) — afeta formato de entrega
- Idiomas dos relatórios
O cálculo simples para CISOs
Compare o orçamento do pentest com o custo estimado de um incidente. Cálculos públicos mostram que o custo médio de um vazamento de dados está na casa dos milhões de dólares. Pentest sério custa fração disso. A conta normalmente fecha rápido.
Conclusão
Pentest é serviço técnico, não commodity. Avalie pela proposta de valor, pelo time, pelo método e pela qualidade do entregável — não apenas pelo preço. Se você está comprando pentest pelo preço mais baixo, você provavelmente não está comprando pentest.