// Soberania de Dados & Compliance

Privacidade & Proteção de Dados

Operações de segurança ofensiva exigem confiança inegociável. A Kryphos Offensive projeta e executa simulações de ataque reais sob controle estrito, garantindo que a descoberta de vulnerabilidades críticas nunca represente um risco à integridade ou soberania dos seus dados.

MOD-GOV // 01

Governança Operacional & Escopo Tático

Nenhuma operação é iniciada sem a formalização de um escopo cirúrgico (Rules of Engagement - RoE) e Acordos de Confidencialidade Bilaterais (NDA) rigorosos.

Além disso, toda nossa equipe opera sob matrizes de acesso com privilégio mínimo (Least Privilege), assegurando que seus ativos estejam apenas em mãos autorizadas.

MOD-MET // 02

Metodologia e Padrões de Execução

O ciclo de vida de nossos engajamentos táticos é balizado pelos maiores frameworks globais de segurança ofensiva.

  • PTES (Penetration Testing Execution Standard)
  • OWASP Testing Guide
  • MITRE ATT&CK Framework
  • Cyber Kill Chain

Conformidade Global

Nossa empresa segue as principais regulamentações e padrões internacionais relacionados à segurança da informação e proteção de dados. Durante a execução de nossos serviços de Pentest, adotamos práticas alinhadas a normas e legislações reconhecidas, garantindo que nossas atividades sejam conduzidas com responsabilidade, confidencialidade e transparência.

LGPD

LGPD

Analisar Matriz
GDPR

GDPR

Analisar Matriz
HIPAA

HIPAA

Analisar Matriz
PCI DSS

PCI DSS

Analisar Matriz
LGPD
BR // COMPLIANCE

Lei Geral de Proteção de Dados Pessoais

Em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD), nossa empresa adota práticas alinhadas aos princípios fundamentais de proteção de dados em todas as atividades de segurança da informação e testes de intrusão (Pentest).

Finalidade
Decriptar Info_
Os dados eventualmente acessados durante a execução de testes de segurança são utilizados exclusivamente para os objetivos previamente definidos em contrato com o cliente. Nenhuma informação é utilizada para fins diferentes daqueles acordados.
Adequação
Decriptar Info_
Garantimos que o tratamento de dados esteja sempre alinhado à finalidade informada ao cliente. Todas as atividades seguem escopos definidos e aprovados previamente.
Necessidade
Decriptar Info_
Coletamos e tratamos apenas as informações estritamente necessárias para a realização dos testes de segurança. Nosso objetivo é minimizar a exposição de dados, limitando o acesso apenas ao que for essencial.
Livre Acesso
Decriptar Info_
Os clientes têm total transparência sobre os processos de teste realizados. Sempre que solicitado, fornecemos informações claras sobre os dados eventualmente acessados e os relatórios técnicos gerados.
Qualidade dos Dados
Decriptar Info_
Nos comprometemos a tratar as informações de forma precisa, atualizada e relevante para os objetivos da análise. Garantimos que qualquer dado referenciado em relatórios seja tratado com cuidado, evitando inconsistências.
Transparência
Decriptar Info_
Mantemos comunicação clara com nossos clientes sobre metodologias, escopo e forma de tratamento das informações, reforçando a confiança e a conformidade com a legislação.
Segurança
Decriptar Info_
Adotamos medidas técnicas e administrativas robustas para proteger as informações. Isso inclui controle de acesso, criptografia e boas práticas de armazenamento para garantir a integridade dos dados.
Prevenção
Decriptar Info_
Nosso trabalho é voltado à prevenção de incidentes. Ao identificar vulnerabilidades antes que sejam exploradas, ajudamos empresas a reduzir riscos de vazamentos e acessos não autorizados.
Não Discriminação
Decriptar Info_
Garantimos que nenhum dado tratado seja utilizado para fins discriminatórios ou abusivos. Nosso compromisso é utilizar as informações apenas para fins legítimos de segurança da informação.
Responsabilização
Decriptar Info_
Assumimos a responsabilidade pela correta aplicação das práticas de proteção de dados. Mantemos processos e políticas que demonstram nosso compromisso com a conformidade legal.
GDPR
EU // GDPR

General Data Protection Regulation

Em conformidade com o General Data Protection Regulation (GDPR), nossa empresa adota práticas rigorosas de proteção de dados em todas as atividades relacionadas à segurança da informação e testes de intrusão (Pentest). Nosso compromisso é garantir responsabilidade, transparência e segurança.

Legalidade, Justiça e Transparência
Decriptar Info_
Todas as atividades seguem bases legais adequadas e são conduzidas de forma ética. Informamos claramente como os dados podem ser tratados e garantimos alinhamento às normas.
Limitação de Finalidade
Decriptar Info_
Qualquer dado pessoal acessado é utilizado exclusivamente para os objetivos definidos no escopo do projeto. Estes dados não são utilizados para qualquer outro propósito.
Minimização de Dados
Decriptar Info_
Nosso objetivo é reduzir ao máximo o acesso a dados pessoais, garantindo que somente o mínimo indispensável seja utilizado para identificar vulnerabilidades e fortalecer a segurança.
Exatidão
Decriptar Info_
Garantimos que qualquer informação utilizada em nossos relatórios de segurança seja tratada com precisão. Trabalhamos para assegurar que os dados utilizados sejam relevantes e corretos.
Limitação de Armazenamento
Decriptar Info_
Os dados coletados são mantidos apenas pelo tempo necessário para a execução do serviço. Após esse período, as informações são eliminadas ou devidamente destruídas.
Integridade e Confidencialidade
Decriptar Info_
Adotamos medidas técnicas e organizacionais rigorosas para proteger as informações. Isso inclui criptografia, gestão de vulnerabilidades e práticas de segurança física.
Responsabilização (Accountability)
Decriptar Info_
Nossa empresa mantém processos de governança e boas práticas de segurança da informação que demonstram nosso compromisso com a proteção de dados.
HIPAA
US // HEALTH SECTOR

Health Insurance Portability and Accountability Act

Nossa empresa reconhece a importância da proteção de informações sensíveis no setor de saúde. Adotamos práticas alinhadas às diretrizes da HIPAA, garantindo que dados de saúde protegidos (PHI) sejam tratados com responsabilidade, segurança e confidencialidade.

HIPAA Privacy Rule
Decriptar Info_
Garantimos que qualquer dado de saúde eventualmente acessado seja utilizado exclusivamente para as finalidades autorizadas. Mantemos rigorosos controles de confidencialidade e limitamos o acesso às informações apenas aos profissionais da equipe de ataque.
HIPAA Security Rule
Decriptar Info_
Adotamos controles de segurança robustos para proteger dados sensíveis. Isso inclui uso de criptografia, monitoramento de atividades e práticas seguras de armazenamento, garantindo proteção contra acesso não autorizado ou perda de dados ePHI.

Por meio dessas práticas, reforçamos nosso compromisso com a proteção de dados sensíveis e com a aplicação das melhores práticas internacionais de segurança, assegurando ambientes mais confiáveis.

PCI DSS
GLOBAL // FINANCE

Payment Card Industry Data Security Standard

O Payment Card Industry Data Security Standard (PCI DSS) é um dos principais padrões voltados à proteção de dados de cartões. Nossos serviços são projetados para identificar vulnerabilidades e fortalecer controles alinhados às boas práticas estabelecidas por esse padrão.

Requisito 1 – Firewall
Decriptar_
Avaliamos regras de firewall, segmentação de rede e filtragem, buscando identificar configurações que permitam acessos indevidos a ambientes sensíveis.
Requisito 2 – Config. Padrão
Decriptar_
Verificamos se dispositivos utilizam configurações seguras, identificando senhas padrão ou credenciais fracas que facilitem acessos não autorizados.
Requisito 3 – Proteção
Decriptar_
Analisamos se dados de cartão podem ser acessados indevidamente por meio de vulnerabilidades em aplicações ou bancos de dados internos.
Requisito 4 – Transmissão
Decriptar_
Avaliamos se as comunicações entre sistemas utilizam protocolos seguros e criptografia, identificando possíveis falhas que permitam interceptação.
Requisito 5 – Malware
Decriptar_
Verificamos se sistemas apresentam vulnerabilidades que possam ser exploradas para instalação de malware ou execução de código malicioso.
Requisito 6 – Dev Seguro
Decriptar_
Realizamos testes em aplicações/APIs para identificar vulnerabilidades comuns (injeções, falhas de autenticação) que possam comprometer sistemas críticos.
Requisito 7 – Privilégio Mínimo
Decriptar_
Avaliamos se usuários possuem permissões excessivas ou se existem falhas que permitam escalonamento de privilégios no ambiente.
Requisito 8 – Autenticação
Decriptar_
Testamos mecanismos de autenticação, gestão de sessões e controles de identidade para identificar possíveis acessos indevidos a sistemas.
Requisito 9 – Seg. Física/Infra
Decriptar_
Nossas avaliações podem identificar exposições lógicas de infraestrutura ou serviços que possam ser acessados indevidamente a partir de redes externas.
Requisito 10 – Monitoramento
Decriptar_
Durante simulações de ataque avaliamos se as atividades maliciosas são detectadas e registradas pelos mecanismos de monitoramento do SOC.
Requisito 11 – Testes Regulares
Decriptar_
A realização de Pentests é essencial para atender este requisito. Nossos serviços são projetados para identificar falhas antes que sejam exploradas.
Requisito 12 – Políticas
Decriptar_
Nossos relatórios e recomendações técnicas auxiliam organizações a fortalecer processos internos, políticas de segurança e práticas de gestão de riscos.
MOD-EVD // 03

Custódia de Evidências

Tratamos os artefatos de intrusão do seu ambiente com rigor militar:

  • Minimização: Coletamos apenas as PoCs estritamente necessárias. Zero extração em massa.
  • Isolamento: Artefatos ficam em discos virtuais criptografados localmente.
  • Need-to-Know: Acesso restrito apenas aos operadores alocados na missão.
MOD-CLN // 04

Protocolo Clean-up

Ao finalizar a janela de reteste, executamos a eliminação de rastros táticos:

  • Efemeridade: VPS de ataque são destruídas/wiped completamente da nuvem.
  • Exclusão: Códigos, shells e relatórios são apagados de forma irreversível.
  • Reversão: Enviamos orientações para você excluir usuários/backdoors instalados por nós.

Protocolos de Comunicação Segura

Vulnerabilidades são informações críticas. A entrega de relatórios e a troca de credenciais ocorrem exclusivamente via canais com criptografia de ponta a ponta (E2EE) ou links de uso único (One-Time Secrets).

Nenhum zero-day trafega por e-mail.

// FIM DA DIRETRIZ TÁTICA

Security Is Built On Trust

Tratamos cada ambiente como infraestrutura crítica. Nosso compromisso inegociável é identificar riscos reais sem comprometer a integridade dos seus negócios.

Solicitar Proposta