Auditoria contínua de segurança e LGPD
Rodamos 60 verificações no seu domínio e devolvemos um relatório com o que o jurídico precisa (artigo da LGPD violado, risco de multa) e o que o time técnico precisa (vulnerabilidade, mitigação, código de exemplo). Sem instalar nada, sem alterar nada.
Sem cartão de crédito pra começar. O scan é read-only de verdade (bloqueamos POST/PUT/DELETE no client HTTP, com audit log). Quem passa nos critérios pode embutir um selo verificável no rodapé do site.
Em 2024 a ANPD aplicou mais de R$ 14 milhões em multas e a maior parte foi por coisa boba: dado pessoal exposto em URL, banner de cookies ausente, política de privacidade defasada. Coisas que dão pra detectar antes que dêem dor de cabeça.
Até 2% do faturamento do grupo no Brasil. Por incidente.
Média mundial. No Brasil é pior - você descobre pelo jornal.
Art. 19 §1º. Sem auditoria contínua, você descobre tarde demais.
As violações que mais dão multa são as mais bestas de detectar: arquivo .env exposto, dado pessoal jogado na URL, banner de cookie ausente, política de privacidade do tempo do colégio, falta de canal pro encarregado de dados. O SECSCORE acha tudo isso enquanto você dorme.
O primeiro scan completa em poucos minutos pra sites pequenos e algo entre 5 e 15 minutos pra sites maiores. Depois roda sozinho no intervalo do seu plano.
Informa a URL do seu site. Não precisa instalar nada, configurar agente ou liberar IPs.
Adiciona um registro DNS TXT ou um arquivo no .well-known/. Só você audita seus sites.
Score LGPD, achados por artigo da lei, plano de remediação e PDF anexável ao RIPD.
60 verificações por scan. O mesmo achado é mostrado em três linguagens conforme quem vai ler: artigo da LGPD pro DPO, técnica MITRE ATT&CK pro CISO, evidência e mitigação pro time técnico.
Cada achado mapeado para o artigo da lei que ele viola:
OWASP Top 10 e técnicas que pentester de verdade usa:
A linguagem que o time de segurança já fala:
Uma nota só pra mostrar pra diretoria sem precisar explicar tabela de risco. Tendência mês a mês.
O Relatório de Impacto à Proteção de Dados (Art. 38) precisa de evidência técnica. A nossa é só anexar.
O client HTTP do scanner bloqueia POST/PUT/DELETE em hard-code. Cada tentativa fica registrada no log.
Pentest profissional é trabalho humano. Um especialista certificado, contrato com escopo definido, testando lógica de negócio, race condition, fluxo específico. Custa caro e demora semanas. Continua sendo necessário uma vez por ano.
O SECSCORE é a camada de baixo: roda toda semana (ou todo dia, no Business), garante que entre um pentest humano e o próximo você não está deixando passar as bobagens caras - .env exposto, cookie sem Secure, banner de consentimento ausente. As coisas que pentester rola os olhos quando vê e DPO perde o sono.
Usa as duas coisas. Não substitui pentester humano por scanner automático.
Quem passa nos critérios recebe um selo SVG pra colar no site. O visitante clica nele, vai pra uma página nossa, e vê em tempo real se a auditoria está em dia. Se você regredir no próximo scan, o selo some sozinho - nada de selo mentindo pelo seu cliente.
O selo é um SVG servido por nós, recalculado a cada visita. Se você regredir num próximo scan, ele some - cliente nunca vê selo desatualizado. Clica no selo, abre a página de verificação aqui no secscore.com.br com o histórico. Funciona em qualquer site, CMS ou plataforma: é só uma linha de HTML.
O snippet com seu token aparece dentro do painel depois do login. Disponível em todos os planos, trial inclusive.
Os scanners globais (Detectify, Probely, Acunetix) são bons em segurança técnica. Eles não falam português, não conhecem a LGPD, não te dão um PDF que serve pra anexar no RIPD. O DPO brasileiro olha o relatório deles, fala "bonito" e joga na pasta de coisas que não dá pra usar.
O que mudamos:
Cobramos via Pagar.me (cartão ou PIX), com nota fiscal. Cancela quando quiser pelo painel. Os primeiros 100 clientes pagam metade do preço de tabela pra sempre, enquanto a assinatura estiver ativa.
💳 Pagamento via Pagar.me (cartão ou PIX) · Cancele quando quiser · Nota fiscal automática
Necessita mais de 20 domínios ou um SLA contratual? Fale com o fundador.
Fase beta
Em troca de meia hora do seu tempo com feedback estruturado, três meses do plano Pro de graça. Funciona como conversa, não como formulário - quero entender o que faz sentido pra você e o que nesse produto está faltando, antes de assinar o ticket cheio.
Não. É auditoria automática contínua - complementar a pentest humano. Cobrimos 60 verificações objetivas (config, headers, CVEs, vazamentos, conformidade LGPD) com excelência, mas não testamos lógica de negócio, race conditions ou fluxos específicos. Para esses, é necessário um pentester certificado (OSCP/CEH). Recomendamos: SECSCORE contínuo + pentest humano anual.
Apenas o relatório de achados, por tempo determinado pelo seu plano
(30/90/365 dias). O scanner é read-only - não armazenamos conteúdo das suas páginas, credenciais
ou dados de usuários. Auditoria de tudo que é executado fica registrada
(check read_only_audit).
Não. Bloqueamos automaticamente qualquer POST/PUT/DELETE no alvo (única exceção: login autorizado por você). Também bloqueamos headers HTTP que poderiam afetar cache do alvo (Host, X-Forwarded-Host etc). Rate limit de 2 req/s por padrão. Tudo auditado no relatório.
Sim. Detectamos automaticamente stacks: Laravel (com checks Filament/Livewire específicos), WordPress, React/Next.js, PHP puro, NestJS/Express. Funciona em qualquer hospedagem (compartilhada, VPS, cloud). Não precisa instalar agente - tudo via verificação remota.
Para sempre, enquanto sua assinatura permanecer ativa. Se cancelar e voltar depois, o preço retorna ao oficial. A oferta vale para os primeiros 100 clientes , depois disso o preço de tabela entra em vigor para novos cadastros.
Não. O framework Enterprise tem 200+ técnicas, e como scanner DAST black-box
só cobrimos as ~20 pertinentes a aplicações web (principalmente TA0001 Initial Access, TA0006 Credential Access,
TA0009 Collection, TA0043 Reconnaissance). Táticas pós-comprometimento (Persistence, Lateral Movement, C2, Impact)
exigem visibilidade interna do ambiente (EDR/SIEM/agente) e estão fora do escopo. Mostramos a cobertura percentual
honesta na página /mitre-coverage.
Não. O SECSCORE usa o framework MITRE ATT&CK® como referência pública (CC BY 4.0), sem afiliação oficial com The MITRE Corporation. MITRE ATT&CK® é trademark registrado. Cada tag de técnica no nosso relatório linka para a documentação oficial em attack.mitre.org.
São selos verificáveis em tempo real que você cola no rodapé do seu site
(uma linha de HTML). O Diamante é o nível máximo: score LGPD ≥ 99,
zero achados críticos, altos e médios, auditoria recente (≤ 7 dias) - praticamente perfeição.
O Ouro exige score ≥ 90, zero achados críticos e altos,
auditoria ≤ 30 dias. O Prata exige score ≥ 70,
zero críticos, até 3 altos, e auditoria ≤ 90 dias. Todos exigem domínio verificado por DNS.
O selo é um SVG dinâmico - recalculado a cada visualização: se seu site
regredir num próximo scan, o selo deixa de ser exibido automaticamente. Clicando no selo, o visitante abre
uma página pública em secscore.com.br/seal/verify/...
com os detalhes da auditoria.
O PDF é estruturado para ser anexável ao RIPD (Relatório de Impacto à Proteção de Dados, Art. 38 LGPD): capa institucional, sumário executivo, score, achados mapeados por artigo, plano de remediação com prazos, hash de integridade. Não substitui parecer jurídico - deve ser revisado pelo seu DPO/advogado.
Trial completo de 14 dias. Cadastra seu domínio, verifica em 3 minutos, tem o primeiro relatório LGPD na mão antes do café acabar.