Resposta direta

Pentest Web / API: R$ 18.000 – R$ 60.000

Pentest Mobile (iOS/Android): R$ 25.000 – R$ 75.000

Pentest de Rede (externo/interno): R$ 15.000 – R$ 90.000

Pentest Cloud / Kubernetes: R$ 35.000 – R$ 120.000

Red Team (30 dias): R$ 90.000 – R$ 250.000+

Cobrança por hora: R$ 400–600/h em consultorias sênior no Brasil; US$ 100–300/h para pentesters sênior internacionais.

Cronograma

Quanto tempo leva um pentest?

Tipo de pentest Horas/testador Janela em calendário
App web simples (1 perfil, < 30 endpoints)40 h5–7 dias
SaaS típico (3 perfis, 80+ endpoints)80–120 h2–3 semanas
API completa (REST + GraphQL + fluxos de auth)100–160 h3–4 semanas
App mobile (iOS + Android)120–180 h3–4 semanas
Rede externa (50–200 IPs)60–120 h2–3 semanas
Rede interna com AD / segmentação120–240 h3–5 semanas
Cloud / Kubernetes (multi-account)160–320 h4–6 semanas
Red Team (contínuo)300 h+30–90 dias

Janela em calendário inclui kickoff, reconhecimento, testes ativos, relatório e 30 min de debrief executivo. Reteste é contado separadamente (2–5 dias).

O que define o preço

7 variáveis que mudam o valor final

1. Tamanho do escopo

Quantidade de endpoints, perfis, microserviços e integrações. Um SaaS com 3 perfis e 80 endpoints leva 5× mais tempo que uma landing page.

2. Modalidade de teste

Black-box (só visão externa) é mais barato; gray-box (com credenciais) é o mais comum; white-box (código + arquitetura) é o mais completo.

3. Stack tecnológico

Microserviços, Kubernetes, serverless e arquiteturas cloud-native exigem especialistas e ampliam o cronograma em 20–40%.

4. Exigências de compliance

Pentest para PCI-DSS, LGPD, ISO 27001 ou SOC 2 exige templates de relatório, evidências e rastreabilidade específicos.

5. Reteste incluso

Uma proposta sem reteste é incompleta. Padrão na Evernow: 1 reteste após correções, dentro de 60 dias.

6. Urgência / SLA

Início expresso (lead time de 5 dias) e testes em janela noturna/fim de semana têm premium de 15–30%.

7. Senioridade dos testers

Certificações OSCP, OSWE, GPEN, GWAPT e histórico de CVEs descobertas justificam hora/hora mais alta — e relatório 3× mais acionável.

Como comparar propostas

Checklist: 8 itens que toda proposta de pentest precisa ter

  • Modalidade declarada (black / gray / white-box)
  • Metodologia utilizada: OWASP WSTG, PTES, OSSTMM, NIST SP 800-115
  • Número de horas/testador e janela em calendário
  • Relatório executivo + técnico + narrativa de ataque
  • Pontuação de risco em CVSS v3.1 ou v4
  • Reteste incluso no preço
  • Contrato de NDA e cláusula de destruição de dados
  • Certificações do time alocado (OSCP, OSWE, GPEN)
Framing de ROI

O preço real é o que você paga por NÃO fazer

Fonte: IBM Cost of a Data Breach 2025

Custo médio de uma violação no Brasil (2025): US$ 1,22 milhão

Multa média da LGPD (ANPD 2024–2025): R$ 500 mil – R$ 50 milhões por infração

Tempo médio de detecção + contenção no Brasil: 299 dias

Colocando em perspectiva: um pentest de R$ 45.000 representa 1,4% do custo médio de uma violação. E um pentest bem feito reduz a probabilidade dessa violação em 60–80%.

85%

das violações exploram vulnerabilidades conhecidas

2,3×

mais barato corrigir em dev do que em produção

58%

das empresas brasileiras tiveram incidente crítico em 2025

FAQ

Perguntas frequentes sobre preço de pentest

Por que existem pentests de R$ 3.000 no mercado?

São varreduras automatizadas (DAST/VA) vendidas como pentest. Não validam exploração, encadeamento de ataque nem lógica de negócio — e são rejeitadas em auditorias sérias de PCI-DSS e ISO 27001.

Preciso de pentest para atender à LGPD?

A LGPD não exige pentest explicitamente, mas demanda "medidas técnicas adequadas" (Art. 46). O pentest é o padrão de-facto para evidenciar diligência à ANPD.

Com que frequência devo fazer pentest?

Mínimo: anual. Recomendado: a cada release maior + anual de baseline. PCI-DSS exige um após qualquer mudança significativa.

O que a Evernow entrega que os outros não entregam?

Relatório com narrativa de ataque real, pontuação CVSS v4, 1 reteste grátis, integração com seu Jira/ClickUp e 30 min de debrief executivo com o CISO.

Relacionado

Continue explorando

Serviço de Pentest

Metodologia completa, entregáveis e diferenciais.
Red Team

Exercícios ofensivos longos simulando adversários reais.
Gestão de Vulnerabilidades

Priorizar, acompanhar e resolver achados com SLA.

Pronto para um pentest sério?

Receba uma proposta sob medida em 48h, com escopo, cronograma e preço detalhado.

Fazer o assessment gratuito
Solicitar orçamento
Evernow

Consultoria especializada em cibersegurança: AppSec, proteção de dados, compliance e operações de segurança.

Soluções

Indústrias

Recursos

Empresa

Contato

Copyright Evernow © 2026. Todos os direitos reservados.