Quanto Custa um Pentest no Brasil em 2026? Preços e Fatores
Quanto Custa um Pentest no Brasil em 2026?
Sobre essa pergunta, existe um problema enorme no mercado: ninguém fala de preço abertamente. Empresas de pentest escondem tabelas, pedem reunião antes de qualquer número, e o comprador fica sem referência para avaliar propostas.
Vamos acabar com isso.
Resumo Direto: Faixas de Preço
| Escopo | Perfil de Empresa | Faixa de Preço (BRL) |
|---|---|---|
| Web App básico (Black Box) | MVP / Early Stage | R$ 8.000 – R$ 15.000 |
| Web App + API (Grey Box) | Startup Série A | R$ 15.000 – R$ 28.000 |
| Web + API + Mobile | SaaS Maduro / Fintech | R$ 25.000 – R$ 45.000 |
| Full Stack (Web + API + Infra Cloud) | Enterprise | R$ 40.000 – R$ 80.000 |
| Red Team (sem escopo fixo) | Maturidade alta | R$ 60.000 – R$ 150.000+ |
| Pentest Contínuo (mensal) | Enterprise com produto crítico | R$ 8.000 – R$ 20.000/mês |
Valores médios de mercado em 2026. Variam por fornecedor, complexidade e prazo.
O Que Determina o Preço de um Pentest
1. Escopo (Web, API, Mobile, Infra)
O maior driver de preço. Cada superfície de ataque exige especialista diferente:
- Web App: Pentester de aplicação, foco em OWASP Top 10
- API REST/GraphQL: Especialista em segurança de API, JWT, OAuth2
- Mobile (Android/iOS): Engenharia reversa, análise de tráfego, bypass de SSL pinning
- Infraestrutura Cloud: Especialista em AWS/GCP/Azure, IAM, network security
Combinar todos os escopos aumenta o preço, mas também aumenta o valor entregue — você mapeia toda a superfície de ataque.
2. Complexidade da Aplicação
Não é só o número de páginas. É:
- Número de endpoints de API (uma plataforma SaaS B2B pode ter 200+ endpoints)
- Existência de multi-tenant (validar isolamento entre clientes é trabalhoso)
- Fluxos de autenticação complexos (SSO, OAuth, 2FA, biometria)
- Integrações com terceiros (Pix, Open Finance, ERPs, CRMs)
3. Modalidade (Black / Grey / White Box)
- Black Box: Mais horas de reconhecimento → mais caro
- Grey Box: Parâmetro mais eficiente → custo moderado
- White Box: Menor reconnaissance mas code review adicionado → depende do código
Para a maioria das empresas, Grey Box Web + API é o melhor custo-benefício.
4. Prazo
Pentest acelerado (2–3 dias) é mais caro por hora que um pentest com prazo confortável de 2 semanas. Urgência tem custo — as melhores equipes têm agenda cheia.
5. Reputação e Metodologia do Fornecedor
Existe uma diferença enorme entre:
- Scanner disfarçado de pentest: R$ 3.000 – R$ 5.000 — relatório automático com zero evidência manual. Não serve para auditoria (BACEN, ISO, investidor).
- Pentest real com equipe especializada: R$ 8.000+ — vulnerabilidades manuais, evidências reais, relatório técnico defensável.
Peço sempre o exemplo de um relatório antes de contratar. Um bom fornecedor mostra.
O Que Deve Estar Incluído no Preço
✅ Reunião de scoping (definição do que será testado)
✅ N dias de teste ativo (variável por escopo)
✅ Relatório técnico com evidências (screenshots + requests reais)
✅ Relatório executivo (para C-level e board)
✅ Reteste gratuito das vulnerabilidades críticas remediadas
✅ Reunião de apresentação de resultados (debriefing)
❌ Red flags: Sem reteste, sem reunião de apresentação, sem evidências manuais no relatório.
ROI: O Custo de NÃO Fazer Pentest
Essa é a conta que poucos fazem. O custo de um incidente de segurança no Brasil:
| Métrica | Valor Médio (Brasil, 2024) |
|---|---|
| Custo médio de um data breach | R$ 22 milhões (IBM, 2024) |
| Custo por registro comprometido | R$ 435 por registro |
| Tempo médio para identificar o breach | 194 dias |
| Multa ANPD (LGPD) | Até 2% do faturamento bruto (máx. R$ 50M) |
| Impacto reputacional (churn estimado) | 5–15% da base de clientes enterprise |
Um pentest de R$ 20.000 que encontra uma IDOR crítica em sua API — que expõe dados de 10.000 clientes — te salvou de uma exposição de R$ 4,35 milhões só no custo por registro. Sem contar multas, processos e churn.
Pentest Contínuo vs. Anual: Qual Faz Sentido?
Pentest Anual — adequado para:
- LGPD compliance
- BCB Resolução 538/2025 (mínimo obrigatório)
- ISO 27001 Cláusula 8.8
- Auditoria de investidor (due diligence)
- Empresa com release cycle lento
Pentest Contínuo — adequado para:
- SaaS com deploy contínuo (CI/CD)
- Produto crítico com dado financeiro ou de saúde
- Empresa que já faz pentest anual e quer cobertura maior
- Equipe de segurança interna que quer validação externa constante
Quer um orçamento personalizado? Solicite sua proposta — escopo, metodologia e preço em 24h.