intrus/io CRIVO Solicitar equipe
Programa de integridade · intrus.io

Seu pentester conhece
tudo sobre você.

Credenciais. Dados de cliente. Trajetos de fraude. Habilidade técnica não é o problema. A pergunta que ninguém faz: esse profissional é digno de ter as chaves do seu reino?

Quero equipe Crivo Como funciona
01 — O que está quebrado

Em cybersecurity, habilidade sobra.
Caráter, quase nunca se mede.

Você contrata um pentester para provar que seus sistemas são invadíveis. No processo, ele passa meses dentro deles.

Vê o CVC real em um banco de dados de teste. Exporta o schema do Open Finance. Senta em uma call onde o CFO discute o preço de aquisição de um concorrente. O NDA está no papel. A tentação, não.

90% das empresas tratam seu time de segurança ofensiva como trata o time de TI: contrata pelo currículo, confia pelo crachá. O ataque mais barato contra a sua empresa não é técnico — é a pessoa errada com a chave certa.

cenário A

O pentester com dívidas

Mesmo o profissional mais bem treinado pode estar em crise financeira no mês em que recebe acesso ao seu ambiente de produção. Você sabe disso?

cenário B

O freelancer sem rosto

Empresas contratam "red teams" via marketplace. Ninguém checa se o operador opera de São Paulo ou de uma rede hostil. O dano é feito antes do primeiro relatório.

cenário C

O vazamento silencioso

A evidência coletada no pentest vaza seis meses depois. Você nunca descobre se foi a empresa contratada — ou o estagiário dela que teve acesso irrestrito.

02 — O Crivo

Uma palavra antiga para um problema novo demais.

Crivo
subst. masc. · do latim cribrum

Peneira fina. Instrumento que separa o que passa do que fica retido. No dicionário antigo: "prova rigorosa; critério severo de admissão".

Na intrus.io, é o processo pelo qual cada profissional precisa passar antes de tocar qualquer dado seu. Não é checagem de LinkedIn. Não é NDA assinado. É uma bateria controlada de integridade — onde a tentação é real e a consequência, também.

03 — A bateria

Cinco fases. Sem aviso. Sem piedade.

Cada candidato entra achando que está sendo avaliado pelo que sabe fazer. Ao final das cinco fases, sabemos quem ele é quando ninguém está olhando.

01
Background contextual

Reputação, finanças, histórico

Ficha criminal, comportamento financeiro (dívidas ativas, padrão de gastos), reputação em comunidades técnicas, presença em fóruns fechados, histórico em ex-empregadores.

Sinal de alerta Pressão financeira + acesso privilegiado é o vetor de insider threat mais documentado do setor. A ausência dessa combinação é pré-requisito, não diferencial.
02
Perfil psicométrico

Traços de caráter mensuráveis

Bateria de testes validados: integridade (Reid, Stanton), impulsividade, tolerância à ambiguidade moral, propensão à racionalização. Cruzados com entrevista situacional.

O que buscamos Não "o cara íntegro". Buscamos o perfil que resiste à pressão específica do trabalho técnico isolado — ninguém olhando, consequência zero aparente.
03
Teste de armadilha controlada

A tentação plantada

Em ambiente isolado e monitorado, o candidato encontra "por acaso": credenciais válidas, CVC e número completo de cartão, acesso a conta bancária de teste com saldo real, dados de cliente plantados. Sem orientação. Sem aviso.

Veredito Quem mexe é eliminado. Quem reporta passa. Quem não reporta mas também não mexe — passa com observação. A taxa de reprovação histórica nesta fase é de 78%.
04
Operação supervisionada

90 dias em projeto-espelho

Aprovados fazem um projeto real paralelo, totalmente logado, com sessões gravadas e revisão par-a-par de cada artefato. Mentoria técnica + observação comportamental. Ninguém entra em cliente Caixa, BMG ou PF sem ter passado por aqui.

Razão do rigor A habilidade técnica e a disciplina operacional se revelam sob carga real, não em CTF. Esta fase descarta mais 35% dos que passaram da fase 03.
05
Monitoramento contínuo

O Crivo não é carimbo. É vigília.

Após admissão: revisão anual de status, auditoria aleatória de acessos e artefatos, retrabalho em fases anteriores a cada mudança relevante de contexto pessoal ou financeiro do profissional.

Princípio Integridade é um estado, não um atributo. O Crivo é o único selo do setor que pode ser revogado — e já foi, em dois casos nos últimos anos.
04 — Em números
05 Profissionais ativos O time inteiro da intrus.io passou pelo Crivo. Sem exceção, inclusive o CEO.
90% Pentests manuais Automação só depois que um humano Crivo-certificado validou a estratégia.
87% Taxa de reprovação Histórica, somando fases 03 e 04. Reprovar não é falha — é o objetivo.
0 Incidentes em clientes Caixa, BMG, Fórmula 1, iFood, ArcelorMittal, Polícia Federal — nenhum vazamento atribuído ao time.
05 — Por que isso importa para você

Duas formas de ler esta página.

Se você não é da área técnica

Você está contratando pessoas que vão saber o que ninguém da sua empresa sabe.

Um pentester passa meses dentro dos seus sistemas. Ele vê nome de cliente, padrão de compra, saldo em conta, CPF, endereço. Ele vê mais do que o seu gerente vê.

O NDA te protege no tribunal. Não te protege no dia 1. Crivo é o que te protege antes de a perda acontecer — porque separa, de antemão, quem você quer ter acesso dessa quem você não quer.

  • Garantia contratual de time 100% Crivo
  • Cada profissional é identificado por nome no seu projeto
  • Sessões gravadas e auditáveis a qualquer momento
Se você entende de segurança

Você já sabe que insider threat é o vetor mais caro. E o menos endereçado.

Você já leu os reports: 60%+ dos incidentes com dano material envolvem um humano legítimo. O que você talvez ainda não tenha comprado é um fornecedor cuja proposta de valor começa pelo humano.

Crivo não é concorrente do seu programa de DLP, CASB ou UEBA. É a camada anterior — aplicada sobre quem vai operar esses controles do seu lado de dentro.

  • Metodologia documentada (whitepaper disponível)
  • Sobreposição explícita com OWASP, MITRE ATT&CK, NIST, PTES
  • Integração com seu IAM, logging e workflow de auditoria
06 — O que o Crivo garante para o cliente

Seis compromissos contratuais. Não promessas.

  1. Ninguém toca seu ambiente sem ter passado pelo Crivo. Contratual. Sem exceção para consultores terceirizados, estagiários ou parceiros.
  2. Você recebe a lista nominal do time antes do primeiro acesso. Nome, documento, papel no projeto, fase Crivo vigente. Atualizada em tempo real caso mude.
  3. Toda sessão é gravada e auditável. Vídeo, log de comandos, screenshots temporizadas. Retenção mínima de 5 anos para clientes regulados.
  4. Dados sensíveis do cliente nunca saem do ambiente do cliente. Operamos via bastion. Artefatos do relatório são anonimizados antes de transitar por qualquer rede fora do seu perímetro.
  5. O selo é revogável — pelo cliente também. A qualquer momento, você pode solicitar a substituição nominal de qualquer profissional. Sem justificativa. Sem penalidade. Trocamos em 48h.
  6. Em caso de má conduta comprovada: você não paga. E cobrimos o custo de auditoria forense independente. Esta cláusula nunca foi acionada. Pretendemos que continue assim.

Em cyber você contrata habilidade. Com o Crivo, você contrata caráter também.

Conversa de 30 minutos com Douglas Lopes, fundador da intrus.io. Você explica o escopo, a gente explica quem encaixa. Sem SDR, sem funil.

Falar com o fundador Baixar whitepaper (PDF)