Pentest vs Scan de Vulnerabilidades: diferença real e qual contratar para sua empresa
Resposta direta
Scan de vulnerabilidades é um processo automatizado que identifica falhas conhecidas em sistemas, gera uma lista de possíveis riscos e pode rodar continuamente a baixo custo — mas não prova que a exploração é possível. Pentest é uma avaliação manual conduzida por especialistas que simula um ataque real, confirma quais falhas são exploráveis e demonstra o impacto concreto no negócio. Os dois são complementares: o scan rastreia a superfície de ataque todo dia; o pentest valida o que realmente importa.
Em resumo
- ›Scan automatizado detecta vulnerabilidades conhecidas rapidamente, mas gera falsos positivos e não prova exploração real.
- ›Pentest é conduzido por profissionais humanos que encadeiam falhas para demonstrar impacto de negócio — algo que nenhuma ferramenta faz sozinha.
- ›PCI DSS 4.0 exige os dois: scan ASV trimestral e pentest anual (ou após mudanças significativas) são requisitos distintos, não intercambiáveis.
- ›Custo de scan varia de R$ 500 a R$ 8.000/mês dependendo do escopo; pentest externo parte de R$ 12.000 e pode ultrapassar R$ 80.000 para ambientes complexos.
- ›O erro mais caro é apresentar relatório de scan ao auditor como substituto do pentest — a diferença é identificada imediatamente e gera não-conformidade.
- ›A combinação ideal é scan contínuo para visibilidade cotidiana e pentest periódico para validação de impacto real e atendimento a compliance.
O que é scan de vulnerabilidades e como ele funciona
Scan de vulnerabilidades é o processo de varredura automatizada de ativos digitais — servidores, aplicações web, APIs, dispositivos de rede — em busca de configurações incorretas, versões desatualizadas de software e falhas catalogadas em bases como o NVD (National Vulnerability Database) e o CVE. Ferramentas como Nessus, Qualys, OpenVAS e Tenable.io executam essa varredura em minutos ou horas, cruzando as características do ambiente com assinaturas de vulnerabilidades conhecidas.
O resultado é uma lista priorizada por severidade CVSS — Crítica, Alta, Média, Baixa — que indica quais sistemas têm maior probabilidade de serem comprometidos. Essa lista, porém, não confirma que a falha é efetivamente explorável naquele contexto específico. Um CVE crítico pode existir em uma porta inacessível externamente; o scanner não sabe disso. Por isso, taxas de falso positivo de 20% a 40% são comuns dependendo da ferramenta e da configuração do ambiente.
A principal vantagem do scan é a frequência: ele pode rodar diariamente ou em tempo quase real, garantindo visibilidade contínua sobre a superfície de ataque. Para empresas com dezenas ou centenas de ativos, essa cobertura contínua é insubstituível — nenhum time de pentesters consegue acompanhar esse ritmo manualmente. O custo também é proporcionalmente baixo: soluções SaaS começam em torno de R$ 500/mês para escopos pequenos e chegam a R$ 8.000/mês para grandes parques de ativos com relatórios gerenciais incluídos.
O que é pentest e por que ele é diferente
Teste de intrusão — ou pentest, do inglês penetration test — é uma avaliação de segurança conduzida por profissionais especializados que simulam, de forma controlada e autorizada, o comportamento de um atacante real. O objetivo não é listar vulnerabilidades potenciais, mas provar quais delas são efetivamente exploráveis no ambiente analisado e qual seria o impacto concreto: acesso a dados de clientes, movimentação lateral entre sistemas, comprometimento de infraestrutura crítica.
Diferente do scanner, o pentester encadeia vulnerabilidades. Uma falha de baixa severidade num serviço auxiliar pode ser combinada com uma configuração incorreta de permissão para escalar privilégios e atingir o banco de dados principal — um caminho que nenhuma ferramenta automatizada traçaria por conta própria. Essa capacidade de raciocínio contextual é o que torna o pentest insubstituível para avaliações de risco reais.
Existem diferentes tipos de pentest conforme o escopo e o nível de conhecimento inicial: caixa-preta (atacante externo sem informações prévias), caixa-cinza (credenciais limitadas ou documentação parcial) e caixa-branca (acesso completo a código-fonte e arquitetura). Cada modalidade responde a uma pergunta de negócio diferente. O custo de um pentest externo de aplicação web começa em torno de R$ 12.000 para escopos simples e pode ultrapassar R$ 80.000 em ambientes corporativos complexos com múltiplos sistemas integrados.
O relatório de pentest entrega algo que o scanner nunca entrega: uma narrativa de ataque reproduzível, com evidências (capturas de tela, dumps de dados, logs), prova de impacto e recomendações priorizadas pelo risco real — não pelo CVSS teórico. Esse documento é o que auditores de segurança, conselhos diretivos e seguradoras de ciber-risco precisam ver.
Solicite agora um diagnóstico gratuito e descubra quais vulnerabilidades do seu ambiente são realmente exploráveis — antes que um atacante descubra por você.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Tabela comparativa: pentest vs scan de vulnerabilidades
A tabela abaixo consolida as diferenças operacionais entre as duas abordagens. Use-a para alinhar expectativas com stakeholders e justificar orçamentos internamente: | Critério | Scan de Vulnerabilidades | Pentest | |---|---|---| | **Execução** | Automatizada (ferramenta) | Manual (profissional especializado) | | **Profundidade** | Superficial — compara versões e assinaturas | Profunda — encadeia falhas, explora contexto | | **Frequência** | Contínuo ou diário | Pontual (anual, semestral ou pós-mudança) | | **Custo médio** | R$ 500–R$ 8.000/mês | R$ 12.000–R$ 80.000+ por ciclo | | **Falso positivo** | Alto (20–40%) | Baixo — tudo reportado foi confirmado | | **Prova de impacto** | Não — indica risco potencial | Sim — demonstra exploração real e consequência | | **Conformidade PCI DSS** | ASV scan trimestral (Req. 11.3.2) | Pentest anual obrigatório (Req. 11.4) | | **Entregável principal** | Lista de CVEs por severidade CVSS | Relatório narrativo com evidências e cadeia de ataque | | **Tempo de execução** | Minutos a horas | Dias a semanas |
Nenhuma linha da tabela torna uma abordagem superior à outra — elas respondem a perguntas diferentes. O scan responde: quais ativos estão expostos agora? O pentest responde: o que um atacante real consegue fazer com isso?
Quando contratar cada um (e quando contratar os dois)
Contratar scan de vulnerabilidades faz sentido como prática contínua, independentemente do porte da empresa. Se você opera qualquer ativo digital — servidor, aplicação web, API, VPN — você precisa saber, em tempo quase real, se uma nova falha crítica foi publicada e afeta seu ambiente. Eventos como o Log4Shell (CVE-2021-44228) mostraram que empresas com scan contínuo identificaram exposição em horas; as sem monitoramento levaram semanas. O scan é, portanto, o piso mínimo de visibilidade.
Contratar pentest faz sentido em ao menos quatro situações: (1) antes de lançar um produto ou sistema novo em produção; (2) após mudanças arquiteturais significativas — migração para nuvem, integração de APIs de terceiros, reformulação de autenticação; (3) como requisito de conformidade — PCI DSS, ISO 27001, SOC 2 e regulações setoriais como as circulares do Banco Central para fintechs exigem pentest periódico; (4) quando sua empresa processa dados sensíveis e precisa demonstrar due diligence a seguradoras, clientes corporativos ou conselhos.
A combinação dos dois num programa de segurança ofensiva estruturado é o que diferencia empresas maduras das reativas. O scan garante que nenhum ativo fique às cegas entre os ciclos de pentest; o pentest valida se os controles que você implantou a partir dos resultados do scan realmente funcionam contra um adversário humano. Empresas que operam apenas com scan acumulam listas de CVEs não priorizados. Empresas que operam apenas com pentest anual ficam cegas por 11 meses. As que combinam os dois têm um ciclo de melhoria contínua mensurável.
Sem cartão, sem compromisso — entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O erro que custa caro: confundir scan com pentest
O equívoco mais comum no mercado brasileiro é apresentar um relatório de scan de vulnerabilidades como evidência de pentest para fins de conformidade ou due diligence. Auditores PCI QSA, revisores ISO 27001 e times de segurança de grandes clientes identificam essa diferença imediatamente — e a consequência é não-conformidade, falha em processos de homologação de fornecedor ou invalidação de apólices de seguro cibernético.
A raiz do problema é comercial: algumas empresas vendem 'relatórios de segurança' a preços muito abaixo do mercado de pentest, entregando na prática um scan automatizado com capa personalizada. O relatório tem centenas de páginas, parece técnico, mas não contém nenhuma evidência de exploração real. Se o documento não descreve uma cadeia de ataque, não tem capturas de tela de dados comprometidos ou shells obtidos, e não demonstra impacto de negócio, não é um pentest — independentemente do nome comercial utilizado.
Antes de contratar, peça sempre: metodologia utilizada (PTES, OWASP Testing Guide, NIST 800-115), currículo e certificações dos profissionais que executarão o trabalho (OSCP, CEH, CRTE, GPEN) e um exemplo anonimizado de relatório final. Esses três elementos distinguem um pentest real de um scan reembalado.
Conformidade e faixas de custo de mercado
Para empresas sujeitas ao PCI DSS 4.0, os requisitos são explícitos e não intercambiáveis: o Requisito 11.3.2 exige scan de vulnerabilidades externas trimestrais por um Approved Scanning Vendor (ASV); o Requisito 11.4 exige pentest anual conduzido por profissional qualificado, com retest após remediação de falhas críticas. Apresentar apenas um dos dois implica em não-conformidade no relatório de ROC ou SAQ.
Para empresas alinhadas à ISO 27001:2022, a norma não prescreve frequência exata, mas o Controle 8.8 (gestão de vulnerabilidades técnicas) e o Controle 8.9 (gestão de configuração) são frequentemente atendidos com a combinação de scan contínuo e pentest periódico. Organizações em processo de certificação descobrem que avaliadores externos esperam evidências de ambas as práticas.
Em termos de custo de mercado no Brasil em 2026: scan de vulnerabilidades externas para até 50 IPs custa entre R$ 500 e R$ 2.000/mês em plataformas SaaS; para 200+ IPs com cobertura de aplicações web, entre R$ 3.000 e R$ 8.000/mês. Pentest de aplicação web (escopo único, caixa-cinza, até 80 horas) parte de R$ 12.000; pentest de infraestrutura corporativa com múltiplos segmentos e relatório executivo pode variar de R$ 35.000 a R$ 80.000 ou mais. Programas de red team contínuo — que combinam as duas abordagens em ciclos trimestrais — começam em R$ 150.000/ano para médias empresas.
Termos-chave
- CVSS
- Common Vulnerability Scoring System — sistema padronizado para pontuar a severidade de vulnerabilidades numa escala de 0 a 10, mantido pelo FIRST. Scanners usam o CVSS para priorizar alertas, mas a pontuação não considera o contexto do ambiente analisado.
- CVE
- Common Vulnerabilities and Exposures — identificador único para cada vulnerabilidade conhecida publicamente, no formato CVE-ANO-NÚMERO. Scanners comparam as características do ambiente com a base de CVEs para detectar exposições.
- ASV
- Approved Scanning Vendor — empresa credenciada pelo PCI Security Standards Council para realizar scans de vulnerabilidades externas exigidos pelo PCI DSS. Somente relatórios de ASV são aceitos para comprovação do Requisito 11.3.2.
- PTES
- Penetration Testing Execution Standard — metodologia aberta que descreve as fases de um pentest: reconhecimento, modelagem de ameaças, identificação de vulnerabilidades, exploração, pós-exploração e relatório. É uma das referências que distinguem pentest real de scan reembalado.
Como decidir e contratar bem
- Estabeleça visibilidade contínua com scan automatizado. Contrate ou implante uma solução de scan de vulnerabilidades que cubra todos os ativos externos (IPs, domínios, APIs) e execute varreduras ao menos semanalmente, preferencialmente diárias. Configure alertas para novos CVEs críticos (CVSS ≥ 9.0) com notificação imediata ao time de segurança.
- Defina o escopo e a frequência do pentest. Mapeie os sistemas de maior criticidade: aplicações que processam dados financeiros ou pessoais, APIs expostas à internet, infraestrutura de autenticação. Estabeleça ciclos de pentest — ao menos anual para conformidade, semestral para ambientes em mudança constante — e documente escopo, regras de engajamento e contatos de emergência num Rules of Engagement formal.
- Use os resultados do scan para priorizar o escopo do pentest. Os achados de maior CVSS e maior exposição identificados pelo scan são os candidatos naturais para validação manual no pentest. Isso evita que o pentester gaste horas em superfícies triviais e concentra o tempo de trabalho humano onde o risco potencial é maior, maximizando o retorno do investimento.
- Execute o pentest e documente evidências de exploração. Conduza o pentest com profissional certificado (OSCP, GPEN ou equivalente) seguindo metodologia documentada (PTES ou OWASP Testing Guide). Exija relatório com cadeia de ataque narrada, capturas de tela de exploração real, impacto de negócio demonstrado e recomendações de remediação priorizadas por risco efetivo — não por CVSS teórico.
- Remedie, valide com retest e atualize o baseline do scan. Após receber o relatório de pentest, corrija as vulnerabilidades confirmadas por ordem de criticidade de impacto real. Solicite retest das falhas críticas para confirmar remediação efetiva. Atualize as regras e políticas do scanner para refletir os novos controles implantados e monitore se as correções permanecem estáveis no tempo.
- Integre os ciclos num programa de segurança ofensiva contínuo. Documente os resultados de cada ciclo num registro centralizado de vulnerabilidades com métricas de tempo médio de remediação (MTTR) por severidade. Use essa métrica para demonstrar maturidade a auditores, clientes corporativos e seguradoras. Programe o próximo ciclo de pentest com antecedência mínima de 60 dias para garantir disponibilidade de profissional qualificado e janela de execução adequada.
Perguntas frequentes
Scan de vulnerabilidades substitui o pentest para fins de PCI DSS?
Não. O PCI DSS 4.0 trata os dois como requisitos distintos: scan trimestral por ASV (Requisito 11.3.2) e pentest anual por profissional qualificado (Requisito 11.4). Apresentar apenas o relatório de scan gera não-conformidade no relatório de auditoria (ROC ou SAQ).
Com que frequência devo contratar pentest?
O mínimo recomendado é anual. Para empresas em crescimento acelerado, com mudanças arquiteturais frequentes ou em mercados regulados (fintechs, healthtechs, e-commerce com dados de cartão), o ideal é semestral. Realize também pentest sempre após mudanças significativas — migração de nuvem, novo sistema de autenticação, integração de APIs críticas.
Quanto custa um pentest no Brasil em 2026?
Pentest de aplicação web (escopo único, caixa-cinza) começa em torno de R$ 12.000. Pentest de infraestrutura corporativa com múltiplos segmentos varia de R$ 35.000 a R$ 80.000. Desconfie de propostas muito abaixo dessas faixas — geralmente entregam scan automatizado reembalado como pentest.
O que diferencia um pentest real de um scan reembalado?
Um pentest real entrega: metodologia documentada (PTES, OWASP Testing Guide ou NIST 800-115), cadeia de ataque narrada com encadeamento de vulnerabilidades, capturas de tela de exploração efetiva, demonstração de impacto de negócio e recomendações priorizadas por risco real. Se o relatório é apenas uma lista de CVEs com CVSS sem evidências de exploração, é um scan com capa personalizada.
Posso usar uma ferramenta de scan gratuita no lugar de contratar serviço pago?
Ferramentas como OpenVAS e Nikto são válidas para equipes técnicas com capacidade de interpretar resultados e gerenciar falsos positivos. Para fins de conformidade (PCI ASV), apenas ferramentas credenciadas são aceitas. Para empresas sem time de segurança dedicado, plataformas SaaS gerenciadas entregam mais valor — filtram falsos positivos, priorizam achados e oferecem suporte especializado.
O pentest precisa ser realizado por empresa externa ou o time interno pode fazer?
Equipes internas podem realizar avaliações de segurança contínuas, mas para fins de conformidade e credibilidade junto a auditores e clientes corporativos, o pentest deve ser conduzido por terceiro independente. O PCI DSS 11.4.2 especifica que o profissional deve ter independência organizacional dos sistemas testados. Para ISO 27001 e due diligence de clientes, a independência do avaliador também é esperada.
Referências
- ›OWASP Testing Guide v4.2 — Metodologia de referência para testes de segurança em aplicações web, cobrindo mais de 90 categorias de testes manuais organizados por fase do ciclo de desenvolvimento.
- ›NIST SP 800-115 — Technical Guide to Information Security Testing and Assessment — Guia técnico do NIST que define metodologias, técnicas e procedimentos para testes de segurança, incluindo revisão, identificação de alvos, análise de vulnerabilidades e testes de penetração.
- ›CVSS v3.1 Specification Document — FIRST — Especificação oficial do Common Vulnerability Scoring System versão 3.1, com detalhamento das métricas base, temporais e ambientais utilizadas para pontuar vulnerabilidades.
- ›PCI DSS v4.0 Requirements and Testing Procedures — PCI SSC — Documento oficial dos requisitos PCI DSS 4.0, incluindo os Requisitos 11.3 (scan de vulnerabilidades) e 11.4 (testes de penetração) com critérios de evidência aceitos para auditoria.
Como a Decripte resolve isso
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.
Solicite agora um diagnóstico gratuito e descubra quais vulnerabilidades do seu ambiente são realmente exploráveis — antes que um atacante descubra por você.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
