Segurança
Três coisas: testes de penetração externos contínuos na cadência que o ritmo dos seus lançamentos exige, um retainer vCISO para o trabalho estratégico que precisa do julgamento de um executivo, e preparação completa para as certificações ISO 27001 ou SOC 2 incluindo a troca com o auditor.
Contínuo por defeito
O compromisso de segurança tradicional é um teste de penetração anual mais um ciclo de certificação que decorre nos meses anteriores à próxima renovação. Essa cadência mantém a documentação atual. Para um sistema que lança código todas as semanas, o trabalho de segurança tem de operar no mesmo relógio que os lançamentos.
O nosso serviço de pentest funciona continuamente: mensal, semanal ou diário consoante o ritmo dos seus lançamentos. O retainer vCISO é contínuo, de modo a que uma lacuna de controlo possa ser levantada na semana em que aparece e encerrada dentro do mesmo trimestre.
Os três compromissos que gerimos
A maioria dos clientes contrata-nos para pelo menos dois em conjunto. Prima em qualquer cartão para ver o âmbito, a cadência e o preço de partida.
ISO 27001 / SOC 2
Preparação para auditorias ISO 27001 e SOC 2 — de ponta a ponta com coordenação de auditores.
Da revisão de postura ao programa contínuo
Revisão da postura de segurança
Revisão estruturada de uma a duas semanas sobre onde está o programa de segurança hoje: controlos existentes, cobertura atual de pentest, estado de certificação, fluxos de dados, obrigações de conformidade, incidentes anteriores. O resultado é uma análise de lacunas priorizada com uma sequência de trabalho recomendada e uma cotação de preço fixo.
Operação contínua
Os scans de pentest executam na cadência escolhida (mensal, semanal, diária); os achados são triados, classificados por gravidade e rastreados até à remediação. O vCISO mantém o registo de riscos, assiste às conversas de conformidade e representa a função de segurança no reporting ao conselho.
Auditoria e renovação
Quando chega a auditoria de certificação, estivemos a recolher evidências durante todo o processo, pelo que o auditor vê um programa que operou durante o ano inteiro. Participamos nas chamadas de auditoria. Respondemos aos achados. Carregamos os artefactos para o próximo ciclo de vigilância.
Onde começa cada serviço
Penetration Testing
Mensal: €99 / month · Semanal: €250 / month · Diário: €500 / month. Cada scan é um scan profundo completo — a cadência é a única variável.
Virtual CISO
Retainer a partir de €5,000 / month. Liderança estratégica de segurança sem a contratação a tempo inteiro. Combina bem com o serviço de pentest: o vCISO gere o programa, o pentest produz os artefactos.
ISO 27001 & SOC 2
Ciclo de uma única framework a partir de €25,000. ISO 27001 independente a partir de €12,000; preparação SOC 2 a partir de €4,500. As taxas de auditoria do organismo de certificação são separadas.
Compromissos de segurança — perguntas que recebemos
Trabalham ao lado da nossa equipa de segurança interna?
Sim — a maioria dos compromissos tem esse aspeto. A equipa interna gere as operações e a resposta a incidentes; nós gerimos os testes externos, a preparação para certificação e o trabalho estratégico de vCISO que beneficia de uma perspetiva externa.
O que cobre realmente o «teste de penetração contínuo»?
Scans completos da superfície de ataque externa na cadência escolhida — aplicações web, APIs, infraestrutura exposta, fluxos de autenticação, fraquezas de configuração, dependências vulneráveis conhecidas. Cada scan produz um relatório escrito com achados classificados por gravidade, evidências e orientação de remediação.
Como o retainer vCISO difere de contratar um CISO?
Um vCISO trabalha consigo a tempo parcial num retainer, tratando das responsabilidades estratégicas e de governação do papel de CISO sem estar no organigrama a tempo inteiro. Útil quando a empresa precisa de julgamento sénior de segurança — para revisões de fornecedores, reporting ao conselho, roteiros de conformidade, liderança de resposta a incidentes — mas não está na escala onde um CISO a tempo inteiro se justifica.
ISO 27001 ou SOC 2 — por onde começar?
Depende de quem está a pedir a certificação. A aquisição enterprise nos EUA pede SOC 2 por defeito; as organizações enterprise europeias e de âmbito NIS2 pedem ISO 27001. Se ambas estão no seu futuro, executamos um compromisso combinado porque o trabalho de controlo subjacente se sobrepõe em grande medida.
E se um achado se tornar num incidente real?
Se formos o seu retainer vCISO, a liderança de resposta a incidentes faz parte do âmbito — estamos na chamada, a ajudar a coordenar a resposta. Se formos apenas o seu fornecedor de pentest, os achados são ainda assim rastreados até à remediação, com a liderança de resposta mantida internamente pela sua equipa.
Fale-nos sobre a sua postura de segurança
Diga-nos onde está o programa de segurança hoje e o que está a ser pedido a seguir. Voltamos com uma sequência recomendada e âmbito de preço fixo para o compromisso que se segue.
Contacte-nos → Ver preços →