Contratar qualquer software para uma empresa é assumir riscos que passam a operar diariamente dentro do ambiente cibernético. Não importa se é um ERP, CRM, ferramenta financeira ou uma aplicação simples. Toda aplicação adiciona código, acessos e integrações que ampliam a superfície de ataque. Por isso, exigir pentest antes da contratação não é uma boa prática, é uma condição mínima de segurança.
Mas não basta pedir um pentest qualquer. É obrigatório exigir um relatório de pentest real, emitido por uma empresa de cibersegurança reconhecida e com credibilidade técnica. Na prática, quando um cliente solicita esse relatório, a reação mais comum do fornecedor de software é buscar o pentest mais genérico e barato disponível, apenas para cumprir exigência comercial, não para validar segurança de verdade.
O mercado está repleto de relatórios que não passam de scan automatizado disfarçado de pentest. São documentos longos, cheios de gráficos e linguagem técnica, mas sem exploração real, sem validação de impacto e sem qualquer prova prática. Scan maquiado gera conforto ilusório, fazendo parecer que o software é seguro quando, na realidade, nunca foi testado sob condições reais de ataque.
Pentest de verdade demonstra exploração, caminhos de ataque e consequências concretas. Sem isso, o relatório não protege ninguém. Confiar apenas no documento, sem avaliar quem executou o teste e qual foi a profundidade técnica, é um erro recorrente. Relatório fraco não reduz risco, apenas o oculta até que o comprometimento aconteça.
Outro ponto ignorado é a frequência. Softwares recebem atualizações constantes, novos recursos e correções mensais. Cada mudança altera o código e pode abrir novas brechas. Fazer um ou dois testes por ano é insuficiente. Atualizou, tem que testar. Pentest recorrente, no mínimo mensal, é o único modelo compatível com a realidade atual. No cenário cibernético, contratar sem testar e manter sem validar é escolher a exposição. E toda exposição, mais cedo ou mais tarde, cobra seu preço.
