intrus/io INTEGRIDADE Verificar time Preços
Programa de integridade · intrus.io

Quem está testando seus sistemas?

Você contrata um pentester. Ele acessa tudo. Mas quem verifica a integridade de quem está acessando seus dados mais sensíveis? Rotatividade em red teams significa que um profissional diferente pode estar dentro dos seus sistemas a cada ciclo — sem que ninguém tenha verificado o caráter de nenhum deles.

Solicitar time Crivo Ver Preços Como funciona
01 —O problema

Rotatividade explosiva, garantia zero de quem entra.

Empresas de pentest trocam de profissionais como quem troca de ferramenta. O time que começou o projeto raramente é o mesmo que termina.

Contratou um red team de 5 pessoas? Na prática, podem ter passado 15 profissionais diferentes pelo seu ambiente ao longo do contrato. Ninguém verificou a integridade de nenhum deles.

O recém-chegado pode ter passagens criminais, dívidas ativas, processos judiciais, histórico de atuação em fóruns de vazamento de dados — e nada disso aparece no currículo ou na entrevista técnica.

A intrus.io já viu de perto: profissionais que planejam por meses — até anos — uma atividade maliciosa dentro do ambiente que deveriam proteger. Um insider determinado não age por impulso. Ele espera o momento oportuno, aprende os ciclos de auditoria, descobre onde os logs não batem, identifica quem não confere os acessos.

Agora imagine um pentester com esse perfil. Ele tem acesso a tudo — bancos, APIs, credenciais, dados de cliente — e a capacidade técnica de camuflar os próprios rastros. De culpar outra pessoa, um fornecedor terceiro, ou simplesmente fazer o vazamento parecer uma falha alheia. Quem protege você desse profissional?

Cenário A

O pentester recém-chegado

Seu red team de confiança substitui um membro sem aviso. O novo profissional tem acesso aos mesmos dados sensíveis que o anterior. Ninguém verificou o histórico dele. A rotatividade escondeu a ameaça.

Cenário B

A armadilha do longo prazo

Um insider planeja silenciosamente, às vezes por anos. Conhece cada canto do sistema, cada lacuna de log. Quando age, deixa o estrago parecer acidental — ou culpa outro fornecedor. Sem Crivo, você só descobre depois.

Cenário C

O profissional que não foi testado

Não basta NDA, não basta nada consta. Quem tem acesso aos seus dados precisa ser testado com uma pergunta que nenhum contrato responde: o que ele faria se ninguém estivesse olhando?

02 —O Crivo

A resposta para uma pergunta que ninguém faz.

Crivo
subst. masc. · do latim cribrum

Peneira fina. Instrumento que separa o que passa do que fica retido. Na intrus.io, é o processo proprietário que certifica a integridade de cada profissional antes do primeiro acesso a dados do cliente.

O Crivo endereça uma lacuna crítica do mercado: confiança cega. Você contrata um pentester pelo currículo dele — mas nunca testa o caráter dele. O Crivo é essa camada anterior: não sobre habilidade, sobre honestidade.

03 —A bateria

Cinco fases. O profissional não sabe o que vem. Nem quando.

Cada candidato entra achando que está sendo avaliado pelo que sabe fazer. Ao final das cinco fases, sabemos quem ele é quando ninguém está olhando.

01
Background contextual

Reputação, finanças, histórico

Ficha criminal, comportamento financeiro (dívidas ativas, padrão de gastos), reputação em comunidades técnicas, presença em fóruns fechados, histórico em ex-empregadores.

Sinal de alertaPressão financeira + acesso privilegiado = vetor de insider threat mais documentado. A ausência dessa combinação é pré-requisito.
02
Perfil psicométrico

Traços de caráter mensuráveis

Testes validados de integridade (Reid, Stanton), impulsividade, tolerância a ambiguidade moral, propensão a racionalização. Ninguém passa sem revelar contradições entre o que diz fazer e o que faria.

O que buscamosNão "o cara íntegro". O perfil que resiste à pressão específica do trabalho isolado — ninguém olhando, consequência zero aparente.
03
Teste de armadilha controlada

A tentação plantada

Em ambiente monitorado, o candidato encontra "por acaso": credenciais válidas, cartão com CVC e saldo, acesso a conta bancária de teste com saldo real, dados de cliente plantados com marca d'água. Sem orientação. Sem aviso.

VereditoQuem mexe é eliminado. Quem reporta passa. Quem não reporta mas também não mexe — passa com observação. Taxa de reprovação histórica: 78%.
04
Operação supervisionada

90 dias em projeto-espelho

Projeto real paralelo, totalmente logado, com sessões gravadas e revisão par-a-par. Ninguém entra em cliente Caixa, BMG, Smart Fit ou PF sem ter passado por aqui.

RigorEsta fase descarta mais 35% dos que passaram da fase 03 — o comportamento sob carga real revela o que nenhum teste de laboratório mostra.
05
Monitoramento contínuo

O Crivo não é carimbo. É processo contínuo.

Revisão anual, auditoria aleatória de acessos e artefatos, retrabalho em fases anteriores a cada mudança relevante de contexto pessoal ou financeiro do profissional.

Único do setorSelo revogável. Já foi revogado em dois casos. Integridade não é atributo permanente — é estado que precisa ser reavaliado.
04 —Em números
5Profissionais ativosTime inteiro da intrus.io passou pelo Crivo, inclusive o CEO.
87%Taxa de reprovaçãoHistórica. Somando fases 03 e 04. Reprovar não é falha — é o objetivo.
0Incidentes em clientesCaixa, BMG, Smart Fit, iFood, PF — nenhum vazamento atribuído ao time.
100%Rotatividade controladaTodo substituto passa pelo mesmo crivo antes de entrar. Sem exceção.
05 —Por que isso importa para você

Duas formas de ler esta página.

Se você não é da área técnica

Você contrata pessoas que vão saber o que ninguém da sua empresa sabe.

Um pentester passa meses dentro dos seus sistemas: nome de cliente, saldo, CPF, endereço. Ele vê mais do que seu gerente vê. O NDA te protege no tribunal — não te protege no dia 1.

Crivo te protege antes de a perda acontecer. Cada profissional é identificado por nome no seu projeto. Sessões gravadas e auditáveis a qualquer momento.

  • Garantia contratual de time 100% Crivo
  • Substituição nominal, sem justificativa
  • Má conduta comprovada = você não paga
Se você entende de segurança

Insider threat é o vetor mais caro. E o menos endereçado.

60%+ dos incidentes com dano material envolvem um humano legítimo. O que falta no mercado é um fornecedor cuja proposta de valor começa pelo humano.

Crivo não é concorrente do seu DLP, CASB ou UEBA. É a camada anterior — aplicada sobre quem vai operar esses controles do seu lado de dentro.

  • Metodologia documentada (whitepaper)
  • Sobreposição com OWASP, MITRE, NIST, PTES
  • Integração com IAM, logging e auditoria
06 —Compromissos contratuais

Seis compromissos contratuais. Não promessas.

  1. Ninguém toca seu ambiente sem ter passado pelo Crivo.Contratual. Sem exceção para consultores terceirizados, estagiários ou parceiros.
  2. Você recebe a lista nominal completa antes do primeiro acesso.Nome, documento, papel no projeto, fase Crivo vigente. Atualizada em tempo real a cada alteração.
  3. Toda sessão é gravada e auditável.Vídeo, log de comandos, screenshots temporizadas. Retenção mínima de 5 anos para clientes regulados.
  4. Seus dados sensíveis nunca saem do seu perímetro.Operamos via bastion. Artefatos anonimizados fora do ambiente do cliente.
  5. O selo é revogável — pelo cliente também.Substituição nominal em 48h. Sem justificativa. Sem penalidade.
  6. Má conduta comprovada: você não paga.Cobrimos custo de auditoria forense independente. Cláusula nunca acionada em 5 anos.

Em cyber você contrata habilidade.
Com o Crivo, você contrata caráter também.

Conversa de 30 minutos com Douglas Lopes, fundador da intrus.io. Você explica o escopo, a gente explica como o Crivo elimina o risco de insider. Sem SDR, sem funil.

Falar com o fundador Baixar whitepaper (PDF)