Faixas de preço

Quanto custa cada tipo de pentest na prática

Valores praticados no Brasil em 2026. O preço final varia conforme as 7 variáveis detalhadas a seguir.

Pentest Web / API

R$ 18k – R$ 60k

Inclui OWASP Top 10, lógica de negócio, fluxos de auth, REST/GraphQL/SOAP. De 1 a 3 perfis.

Pentest Mobile

R$ 25k – R$ 75k

iOS + Android. Análise estática e dinâmica, bypass de SSL pinning, engenharia reversa, comunicação com API.

Pentest de Rede

R$ 15k – R$ 90k

Externo ou interno. Ataques ao AD, movimento lateral, escalada de privilégio, teste de segmentação.

Cloud / Kubernetes

R$ 35k – R$ 120k

AWS, Azure, GCP. Roles mal configuradas, buckets expostos, políticas fracas, caminhos de ataque via IAM.

Red Team

R$ 90k – R$ 250k+

Simulação de adversário por 30 dias: phishing, acesso inicial, persistência, movimento lateral e exfiltração.

Cobrança por hora

R$ 400–600/h
Consultoria sênior (Brasil)

US$ 150–350/h
Pentester sênior internacional

Cronograma

Quanto tempo leva um pentest?

Tipo de pentest Horas/testador Janela em calendário
App web simples (1 perfil, < 30 endpoints) 40 h 5–7 dias
SaaS típico (3 perfis, 80+ endpoints) 80–120 h 2–3 semanas
API completa (REST + GraphQL + fluxos de auth) 100–160 h 3–4 semanas
App mobile (iOS + Android) 120–180 h 3–4 semanas
Rede externa (50–200 IPs) 60–120 h 2–3 semanas
Rede interna com AD / segmentação 120–240 h 3–5 semanas
Cloud / Kubernetes (multi-account) 160–320 h 4–6 semanas
Red Team (contínuo) 300 h+ 30–90 dias

Janela em calendário inclui kickoff, reconhecimento, testes ativos, relatório e 30 min de debrief executivo. Reteste é contado separadamente (2–5 dias).

O que define o preço

7 variáveis que mudam o valor final

Antes de pedir orçamento, entenda o que move o preço para conseguir escopar corretamente e comparar com justiça.

1. Tamanho do escopo

Quantidade de endpoints, perfis, microserviços e integrações. Um SaaS com 3 perfis e 80 endpoints leva 5× mais tempo que uma landing page.

2. Modalidade de teste

Black-box (só visão externa) é mais barato; gray-box (com credenciais) é o mais comum; white-box (código + arquitetura) é o mais completo.

3. Stack tecnológico

Microserviços, Kubernetes, serverless e arquiteturas cloud-native exigem especialistas e ampliam o cronograma em 20–40%.

4. Exigências de compliance

Pentest para PCI-DSS, LGPD, ISO 27001 ou SOC 2 exige templates de relatório, evidências e rastreabilidade específicos.

5. Reteste incluso

Uma proposta sem reteste é incompleta. Padrão na Evernow: 1 reteste após correções, dentro de 60 dias.

6. Urgência / SLA

Início expresso (lead time de 5 dias) e testes em janela noturna/fim de semana têm premium de 15–30%.

7. Senioridade dos testers

Certificações OSCP, OSWE, GPEN, GWAPT e histórico de CVEs descobertas justificam hora/hora mais alta — e relatório 3× mais acionável.

Quer um orçamento sob medida para o seu escopo?

Nossos especialistas respondem em até 48 horas úteis com um detalhamento completo.

Solicitar orçamento
Como comparar propostas

Checklist: 7 itens que toda proposta de pentest precisa ter

Se algum desses pontos estiver faltando na proposta, questione antes de assinar.

1
Modalidade declarada (black / gray / white-box)
2
Metodologia utilizada: OWASP WSTG, PTES, OSSTMM, NIST SP 800-115
3
Cronograma completo de execução
4
Relatório executivo + técnico + narrativa de ataque
5
Pontuação de risco em CVSS v3.1 ou v4
6
Reteste incluso no preço
7
Contrato de NDA e cláusula de destruição de dados
Framing de ROI

O preço real é o que você paga por NÃO fazer

Fonte: IBM Cost of a Data Breach 2025

Custo médio de violação (BR 2025) US$ 1,22M
Multa LGPD (ANPD 2024–2025) R$ 500k – 50M
Tempo médio detecção + contenção 299 dias

Um pentest de R$ 45.000 representa 1,4% do custo médio de uma violação. E um pentest bem feito reduz a probabilidade dessa violação em 60–80%.

85%

exploram vulns conhecidas

2,3×

mais barato corrigir cedo

58%

tiveram incidente crítico

FAQ

Perguntas frequentes sobre preço de pentest

Ainda com dúvidas? Fale com um especialista.

Falar com especialista

São varreduras automatizadas (DAST/VA) vendidas como pentest. Não validam exploração, encadeamento de ataque nem lógica de negócio — e são rejeitadas em auditorias sérias de PCI-DSS e ISO 27001.

A LGPD não exige pentest explicitamente, mas demanda "medidas técnicas adequadas" (Art. 46). O pentest é o padrão de-facto para evidenciar diligência à ANPD.

Mínimo: anual. Recomendado: a cada release maior + anual de baseline. PCI-DSS exige um após qualquer mudança significativa.

Relatório com narrativa de ataque real, pontuação CVSS v4, 1 reteste grátis, integração com seu Jira/ClickUp e 30 min de debrief executivo com o CISO.

Relacionado

Continue explorando

Serviço de Pentest

Metodologia completa, entregáveis e diferenciais.
Red Team

Exercícios ofensivos longos simulando adversários reais.
Gestão de Vulnerabilidades

Priorizar, acompanhar e resolver achados com SLA.

Pronto para um pentest sério?

Receba uma proposta sob medida em 48h, com escopo, cronograma e preço detalhado.

Fazer o assessment gratuito
Solicitar orçamento
Evernow

Consultoria especializada em cibersegurança: AppSec, proteção de dados, compliance e operações de segurança.

Soluções

Indústrias

Recursos

Empresa

Contato

Copyright Evernow © 2026. Todos os direitos reservados.