Testes de intrusão e consultoria de segurança com Letter of Authorization assinada, metodologia reconhecida e relatórios pensados para os conselhos. Das aplicações web às infraestruturas críticas.
Cada engagement começa com uma Letter of Authorization assinada pelo representante legal, que define IP, domínios e janela temporal. Nenhuma atividade fora do âmbito acordado.
Combinamos padrões reconhecidos internacionalmente com verificação manual. A automação encontra o ruído; a análise humana encontra o que realmente importa.
Enumeração de superfícies, serviços e tecnologias expostas. Define-se com precisão o que é realmente atacável.
Testes conduzidos segundo OWASP Top 10, PTES e NIST SP 800-115: cobertura sistemática, repetível e documentada.
As vulnerabilidades não são apenas reportadas: onde autorizado, demonstra-se o impacto real sem danificar os sistemas.
Relatório técnico com evidências e remediação para quem opera, executive summary claro para quem decide.
Definição do âmbito, objetivos e calendário com o responsável da empresa.
Assinatura do representante legal: IP, domínios e período autorizados, por escrito.
Avaliação no perímetro acordado. Nenhuma atividade fora do âmbito, comunicação contínua.
Entrega do relatório técnico e do executive summary dentro dos prazos acordados.
Apresentação aos decisores e roadmap de remediação priorizado.
Estamos a integrar modelos de nova geração capazes de raciocinar sobre o código-fonte, identificando classes de vulnerabilidades que os scanners tradicionais baseados em padrões não detetam.
A Studio Cociu está em processo de acreditação para os programas de acesso avançado do ecossistema Anthropic, cujas apresentações acompanhou de perto no Google Cloud Next 2026.
A investigação publicada pela Anthropic mostrou modelos capazes de descobrir vulnerabilidades latentes durante mais de vinte anos em software maduro. Levamos esta abordagem à avaliação profissional.
Solicitar acesso antecipadoAs respostas às perguntas que nos são feitas com mais frequência antes de um engagement.
É o documento, assinado pelo representante legal da organização, que autoriza formalmente as atividades de teste especificando endereços IP, domínios e janela temporal. Sem LoA não iniciamos qualquer atividade: é o que torna o teste de intrusão legal e rastreável.
OWASP Top 10 para aplicações web, PTES (Penetration Testing Execution Standard) para o processo global e NIST SP 800-115 como referência técnica. A cobertura é sistemática, repetível e documentada.
Sempre e exclusivamente. Cada atividade decorre no perímetro definido pela LoA. Nenhum teste é alguma vez conduzido em sistemas de terceiros ou fora do âmbito acordado.
Um relatório técnico com as evidências e as indicações de remediação priorizadas, e um executive summary legível pelo conselho. Para engagements mais amplos está prevista a apresentação direta aos decisores.
Depende do âmbito: um Web Application Assessment demora 5–7 dias, um Infrastructure Assessment 10–15 dias, um Full Red Team 3–6 semanas. O calendário preciso é acordado na fase inicial.
O serviço é exposto segundo os protocolos de comércio agêntico de fronteira: um agente de IA pode descobrir o catálogo e iniciar o engagement de forma autónoma. Cada engagement começa, ainda assim, com um adiantamento de scoping e uma Letter of Authorization assinada.
Universal Commerce Protocol para Gemini e AI Mode./.well-known/ucp
Agentic Commerce Protocol para ChatGPT e Operator, via Stripe./.well-known/acp
Pagamentos HTTP 402 nativos para agentes./.well-known/x402
Adiantamento de scoping de 500 € para iniciar a avaliação. Saldo após a Letter of Authorization assinada e o âmbito acordado. Humanos: pagamento via SumUp. Agentes de IA: pagamento via Stripe (ACP).
Descreva o seu âmbito e receberá uma resposta em 24 horas com a proposta e o modelo de Letter of Authorization.