Resumo:
- O relatório de pentest é o único produto tangível do serviço e cumpre três funções: orientar o time técnico, informar a liderança e sustentar processos de compliance e auditoria.
- A seção de escopo e metodologia documenta o que foi testado, o tipo de acesso fornecido e o framework utilizado, informações frequentemente exigidas em auditorias de ISO 27001, PCI DSS e SOC 2.
- A classificação de criticidade precisa ser explicada antes dos achados, pois o mesmo tipo de vulnerabilidade pode ter níveis de risco diferentes.
- Relatórios gerados por scanners listam vulnerabilidades sem evidência de exploração real e com recomendações genéricas.
Uma das perguntas mais comuns de quem está contratando um pentest pela primeira vez é: o que vem no relatório?
O relatório é uma ferramenta essencial, sendo o único produto tangível ao final do teste. Por meio dele, o time técnico vai corrigir as vulnerabilidades, a liderança vai entender o estado real da segurança do ambiente e a empresa vai ser capaz de compreender e justificar o investimento em auditorias e processos de compliance.
Por tamanha importância, é necessário que o relatório seja de qualidade. Um relatório bem estruturado transforma o trabalho técnico do pentester em insumo acionável para toda a empresa, já um relatório ruim é pouco mais do que uma lista de alertas sem contexto.
Este artigo explica o que deve estar em cada seção de um relatório de pentest profissional, como a Vantico entrega esses documentos, e como identificar quando uma entrega não está à altura do serviço contratado.
Acompanhamento em tempo real
Antes do relatório final, empresas que oferecem pentest profissional oferecem algum tipo de visibilidade durante o teste. Na Vantico, os pentesters atualizam as informações sobre vulnerabilidades encontradas e ativos analisados em tempo real via plataforma. Isso permite que o cliente inicie correções antes mesmo do encerramento do teste, reduzindo o tempo de exposição ao risco.
O relatório final documenta tudo o que foi realizado, consolidando as descobertas com o nível de detalhe necessário para remediação, auditoria e decisões estratégicas.
Sumário/Relatório executivo
O relatório executivo, que também pode ser “sumário executivo” e estar dentro do relatório técnico, deve abordar três pontos: qual era o escopo do teste, quais foram as descobertas mais críticas e qual é o nível de risco geral do ambiente avaliado.
Um bom relatório executivo foge dos termos técnicos e jargões rebuscados, focando em comunicar o impacto de negócio das vulnerabilidades encontradas. A diferença entre “foi identificada uma vulnerabilidade de injeção SQL” e “é possível extrair toda a base de dados de clientes com uma requisição não autenticada” é enorme para quem precisa priorizar investimentos.
Apesar de funcionarem dentro do mesmo pentest, entenda a diferença entre o relatório técnico e o relatório executivo:
| Critério | Relatório Técnico | Relatório Executivo |
| Público-alvo | Equipe de segurança e TI | Gestores e líderes |
| Linguagem | Técnica e detalhada | Acessível e objetiva |
| Foco | Vulnerabilidades e dados técnicos | Impacto no negócio |
| Nível de detalhe | Alto | Resumido |
| Conteúdo | Metodologias, falhas e correções. Traz referências como CVE, CWE, OWASP. | Dados de forma simplificada, a fim de orientar gestão de riscos e decisões estratégicas |
Escopo e metodologia
Esta seção documenta exatamente o que foi testado: endereços IP, domínios, aplicações, APIs, períodos de teste, tipo de acesso fornecido (black box, gray box ou white box) e quaisquer restrições acordadas antes do início. Essa documentação protege tanto o cliente quanto o prestador de serviço.
A metodologia descreve o framework utilizado (OWASP, PTES, OSSTMM, NIST, entre outros) e as categorias de teste aplicadas ao escopo. Isso permite que o cliente entenda a abrangência do trabalho realizado e use essa informação em auditorias e processos de conformidade. Para empresas em processos de ISO 27001, PCI DSS, SOC 2 ou M&A, essa seção é frequentemente exigida pelos auditores.
Fatores de risco e critérios de criticidade
Antes de listar os achados, o relatório precisa explicar como a criticidade foi calculada. Sem esse contexto, uma vulnerabilidade “alta” de um fornecedor pode ser incomparável com a “alta” de outro.
O cálculo considera fatores como probabilidade de exploração (a facilidade com que uma vulnerabilidade de software pode ser atacada), impacto (confidencialidade, integridade, disponibilidade) e contexto do ambiente. O mesmo tipo de vulnerabilidade pode ser crítica em um sistema exposto à internet e média em um sistema interno com acesso restrito. O relatório deve deixar claro como essa ponderação foi feita.
A Vantico utiliza uma metodologia de classificação alinhada ao CVSS, com critérios documentados e explicados. Isso garante que o cliente e o time técnico estejam alinhados ao priorizar correções.
Resumo das vulnerabilidades
Antes de entrar no detalhe de cada achado, o relatório apresenta uma visão consolidada: quantas vulnerabilidades foram encontradas por criticidade (crítica, alta, média, baixa, informativa), qual a distribuição por categoria (autenticação, autorização, injeção, configuração, etc.) e, quando disponível, uma comparação com benchmarks do setor.
Esse resumo ajuda o time a dimensionar o esforço de remediação e a comunicar o estado do ambiente para stakeholders em diferentes níveis da organização, sem precisar detalhar cada achado individualmente.
Achados técnicos detalhados
Esta é a seção mais extensa e mais importante do relatório. Cada vulnerabilidade deve ser documentada com:
- Título e classificação de criticidade.
- Descrição técnica da vulnerabilidade e de como ela funciona.
- Evidência de exploração: requisição utilizada, resposta obtida, print de tela ou captura de tráfego.
- Impacto potencial para o negócio: o que um atacante poderia fazer ao explorar essa falha.
- Recomendação de correção: específica, acionável e preferencialmente com exemplo de código ou configuração corrigida.
- Referências externas: CVE, CWE, OWASP, documentação de boas práticas.
A qualidade da evidência é fundamental, já que é a responsável pela validação do achado, o que permite que o time de desenvolvimento reproduza o comportamento e serve como base para verificar se a correção foi bem-sucedida no reteste.
Para empresas que buscam o pentest por motivos ligados a auditorias, M&A ou compliance, essa seção é frequentemente exigida no processo de aprovação. Um achado sem evidência técnica sólida não tem valor para um auditor.
Plano de remediação priorizado
Além das recomendações individuais em cada achado, um bom relatório oferece uma visão priorizada: o que corrigir primeiro, com base no impacto e na facilidade de correção. Isso ajuda equipes com recursos limitados a tomar decisões inteligentes sobre onde investir esforço imediatamente.
Vulnerabilidades críticas exploráveis remotamente sem autenticação têm prioridade diferente de configurações inadequadas em sistemas internos com acesso restrito. O relatório deve comunicar essa diferença de forma explícita.
Reteste e carta de atestado
Um relatório de pentest profissional inclui previsão de reteste: um processo pelo qual o pentester verifica, após as correções, se as vulnerabilidades foram de fato resolvidas. Isso fecha o ciclo e dá ao cliente a confirmação técnica de que a superfície de ataque foi reduzida. Na Vantico, o reteste está incluso por 90 dias sem custo adicional.
O laudo pode ser um documento separado ou uma atualização do relatório original, com o status de cada achado: corrigido, parcialmente corrigido, aceito como risco ou em andamento.
Além do relatório técnico e executivo, a Vantico emite uma carta de atestado: um documento formal que comprova a realização do pentest para fins de compliance, auditorias externas e processos de certificação.
O que não deve estar num relatório de pentest
Tão importante quanto o que deve estar é o que não deve. Relatórios gerados automaticamente por ferramentas de scan ainda circulam disfarçados de entregas de pentest. Os sinais são:
- Vulnerabilidades listadas sem evidência de exploração real.
- Recomendações genéricas como “atualizar o sistema” sem especificar o que e como.
- Ausência de seção executiva ou linguagem inacessível para a liderança não técnica.
- Criticidade sem critério documentado, o que impede comparação entre fornecedores.
O relatório do pentest
Agora que você entendeu a sua importância, trouxemos alguns trechos do relatório da Vantico (com um cliente e vulnerabilidades fictícias) como exemplo.
- Escopo do teste
O escopo traz um resumo sobre o teste, com informações como: ambiente analisado, alvo do pentest e principais testes em cada aplicação.

Legenda: Exemplo de Escopo de Trabalho no relatório da Vantico.
- Metodologia
Esse tópico aborda as práticas utilizadas durante o teste e como ele aconteceu, que geralmente é dividido em três fases, o planejamento e reconhecimento, o teste de invasão e a análise de riscos e recomendações.
Apesar desses dois primeiros trechos serem introdutórios, com informações menos detalhadas, eles são essenciais em consultas rápidas ou, até mesmo, para líderes e gestores que não possuem tanto conhecimento técnico na área, já que esses trechos possuem linguagem mais acessível e objetiva.

Legenda: Exemplo de Metodologias no relatório da Vantico.
- Fatores de risco
Esse trecho é muito importante. Ele é apenas explicativo, trazendo os conceitos e critérios a respeito da classificação das vulnerabilidades, o que é essencial para que as informações estejam alinhadas entre ambas as partes e o relatório seja compreendido de forma correta e precisa.

Legenda: Exemplo de Fatores de Risco no relatório da Vantico.
- Vulnerabilidades
Chegando aos resultados, temos tanto a parte de visão geral das vulnerabilidades, que traz uma breve descrição, nível de criticidade e status, quanto os detalhes de cada uma com categoria, ativo vulnerável, referências, descrição, recomendações e evidências.
São as informações aqui disponibilizadas que permitem a mitigação dos riscos e o armazenamento de dados que poderão orientar a escolha ou construção de outros ativos.
Além disso, para empresas que buscam o pentest por motivos ligados a auditorias, merge & acquisition (fusão & aquisição) ou compliance, esse trecho é fundamental para a aprovação do processo.

Legenda: Exemplo de Vulnerabilidades no relatório da Vamtico.

Legenda: Exemplo de Detalhes das Vulnerabilidades no relatório da Vantico.
Um pentest profissional entrega análise humana, contexto de negócio e evidência técnica sólida. Uma exportação de scanner não encontra os mesmos achados que um pentester humano: das 21 vulnerabilidades que um pentester da Vantico identificou num ativo, a ferramenta automatizada testada no mesmo ambiente encontrou zero.
O relatório é o produto final do pentest. Antes de contratar, pergunte ao fornecedor o que vem documentado, como a criticidade é calculada e se há reteste incluso. A qualidade do relatório reflete a qualidade do serviço.
Fale com a Vantico e conheça a qualidade dos nossos relatórios.
Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.
FAQ: Perguntas frequentes
O que é um relatório de pentest?
Um relatório de pentest é o documento entregue ao cliente ao final de um teste. Ele consolida todas as vulnerabilidades encontradas, as evidências técnicas de exploração, o impacto potencial de cada achado e as recomendações de correção. É o único produto tangível do serviço e serve tanto para o time técnico remediar quanto para a liderança tomar decisões estratégicas de segurança.
Qual a diferença entre o relatório técnico e o relatório executivo?
O relatório técnico é destinado ao time de desenvolvimento e segurança: traz cada vulnerabilidade com evidências, código de exploração, referências (CVE, CWE, OWASP) e instruções detalhadas de correção. O relatório executivo é destinado a CISOs, CTOs e diretores: apresenta o nível de risco geral, as descobertas mais críticas e o impacto de negócio em linguagem acessível. Um pentest profissional entrega os dois.
O que deve constar no relatório de conformidade com o pentest?
Para fins de compliance (ISO 27001, PCI DSS, SOC 2, BCB 538, entre outros), o relatório precisa documentar o escopo exato do teste, a metodologia utilizada, o período de realização, as vulnerabilidades encontradas com suas criticidades, e o resultado do reteste após as correções. A carta de atestado emitida pelo fornecedor é frequentemente exigida pelos auditores como prova formal de que o teste foi realizado por profissional independente.
Como sei se o relatório que recebi é de um pentest real ou de um scanner automatizado?
Um relatório de pentest real tem evidências de exploração humana: capturas de tela mostrando o ataque em execução, requisições e respostas reais, descrições do raciocínio do pentester durante a exploração e impacto contextualizado para o negócio. Relatórios gerados por ferramentas automatizadas tendem a listar vulnerabilidades sem evidência de exploração real, com recomendações genéricas e sem análise de impacto.
O reteste está incluso no relatório de pentest?
Depende do fornecedor. Na Vantico, o reteste está incluso por 90 dias sem custo adicional. Isso significa que após as correções, o pentester valida tecnicamente se as vulnerabilidades foram de fato resolvidas e atualiza o relatório com o status de cada achado. Antes de contratar qualquer fornecedor, confirme se o reteste está incluso e por quanto tempo.
Quanto tempo leva para receber o relatório de pentest?
O prazo varia conforme o escopo e a complexidade do teste. Em geral, o relatório final é entregue alguns dias após a conclusão dos testes. Fornecedores com plataforma própria, como a Vantico, permitem acompanhar as descobertas em tempo real durante o teste, o que agiliza o início das correções ainda antes da entrega do relatório consolidado.
O relatório de pentest pode ser usado como laudo para auditores externos?
Sim, desde que contenha as informações exigidas pelo framework de compliance em questão: escopo, metodologia, achados, criticidades e resultado do reteste. A carta de atestado emitida pelo fornecedor é o documento formal que atesta a realização do teste por profissional independente e é frequentemente o que os auditores solicitam.
Pentest com relatório técnico é o mesmo que pentest profissional?
Não necessariamente. Um relatório técnico bem estruturado é um indicador de qualidade, mas o que define um pentest profissional é a análise humana por trás dele: pentesters certificados (OSCP, CEH, eWPTX), metodologia documentada, evidências reais de exploração e cobertura adequada do escopo. O relatório é o produto entregue, mas a qualidade do pentest é o que determina o valor do que está dentro dele.