Demo
Especialidade · Mercado Financeiro

Pentest para Fintechs e Bancos Digitais

A BCB Resolução 538/2025 tornou o pentest anual obrigatório para toda instituição autorizada pelo Banco Central — em vigor desde março/2026. Emitimos relatórios aceitos por auditores do BCB, Big 4, e seguradoras.

Solicitar Pentest Conforme BCB Ver Requisitos Regulatórios
⚖️

Obrigação Legal — Vigente desde 01/03/2026

BCB Resolução 538/2025 + CMN 5.274/2025

Pentest anual obrigatório, conduzido por executores independentes, com relatório retido por 5 anos. Inclui APIs Pix, Open Finance, e integrações com terceiros.

Ler Análise da Resolução →
Escopo Técnico

O Que Testamos em Fintechs

🔌

APIs Pix e Open Finance

Testamos os conectores Open Finance / Pix: autenticação FAPI, OIDC, mTLS, e authorization flows específicos do ecossistema bancário brasileiro. Incluindo IDOR entre contas e rate limiting bypass.

🌐

Web Application

Dashboard de cliente, painel administrativo, portal do parceiro. Foco em Business Logic Flaws específicos de fintech: manipulação de saldo, bypass de limites de transferência, escalada de privilégios.

📱

Mobile (Android e iOS)

Armazenamento inseguro de tokens e dados financeiros, bypass de SSL pinning, análise de APIs usadas pelo app, engenharia reversa de tokenização de cartão.

☁️

Infraestrutura Cloud

AWS/GCP Security: IAM overpermissioned, S3 buckets com dados de clientes, security groups permissivos, secrets em variáveis de ambiente, configurações de EKS/GKE.

🔑

Autenticação e Autorização

JWT: algorithm confusion, weak secrets, kid injection. OAuth2: redirect_uri bypass, PKCE downgrade, token leakage. FIDO2/WebAuthn: attestation bypass. MFA: bypass de segundo fator.

📋

Relatório para Auditoria BCB

Relatório estruturado conforme exigências: metodologia PTES/OWASP, CVSS v3.1, evidências técnicas, plano de ação, status de remediação. Aceito por auditores do BCB e Big 4.

Por Que Veyronn

Diferencial para o Mercado Financeiro

01

Independência Regulatória Documentada

Sem vínculo hierárquico com sua equipe de dev ou infra — requisito explícito da BCB 538/2025. Declaração de independência incluída no relatório.

02

Especialistas em Open Finance e Pix

Conhecimento profundo do ecossistema BCB: FAPI 2.0, OIDC com mTLS, APIs do Diretório de Participantes, e fluxos de consentimento do Open Finance.

03

Retenção de Evidências por 5 Anos

Mantemos cópia dos artefatos técnicos (evidências, logs, relatório) pelo prazo exigido pela BCB 538/2025, disponível para requisição de auditoria a qualquer momento.

04

Business Logic Flaws Financeiros

Race conditions em transferências duplicadas, bypass de limites diários, manipulação de cashback e pontos, exploração de fluxos de estorno — vulnerabilidades que scanners nunca encontram.

Compliance

Regulações Atendidas

✅ Obrigatório

BCB 538/2025

Pentest anual independente, documentado, retido por 5 anos. Vigente desde 01/03/2026.

✅ Obrigatório

CMN 5.274/2025

Política de Segurança Cibernética com testes de intrusão periódicos para todas as IFs.

⚖️ LGPD

LGPD Art. 46

Medidas técnicas de proteção de dados pessoais. Pentest documenta diligência técnica.

PCI-DSS

PCI-DSS v4.0

Requirement 11.3: Pentest anual para ambientes de dados de cartão.

Pronto para Contratar seu Próximo Pentest?

Adquira nossa avaliação pontual feita pelos melhores profissionais do mercado ou implemente o software da Veyronn 24/7.

Implantar Plataforma com IA Orçamento de Consultoria