RB
Rafaela Bastos
Diretora técnica
Onze anos em segurança ofensiva. Liderou pentests para três bancos do segmento médio e mantém o currículo de formação interna da casa.
Sobre a casa
Uma agência que publica o que aprende defendendo operações brasileiras.
A Órbita Vetra começou em 2019, no meio do plantão de um banco médio que estava sob extorsão. Quatro engenheiros se reuniram para conter o incidente, e a partir daquela noite combinaram de transformar cada lição aprendida em material público — porque parte considerável dos times no Brasil precisa do mesmo conhecimento, e quase ninguém escreve em português técnico bem revisado.
Hoje somos doze pessoas. Atendemos cerca de trinta clientes ativos no país, com forte presença em fintechs, planos de saúde e indústrias com automação. Mantemos a tese editorial original: tudo que viramos para um cliente, viramos para o setor — preservando o sigilo do caso, mas compartilhando o método.
A casa fica em Jardim Paulista. O time é híbrido. Discussões importantes acontecem às terças, presencialmente, e o resto da semana funciona em fuso paulista para quem prefere foco em casa.
Cada relatório publicado aqui passou primeiro pela mesa de quem assinou o contrato — e pela revisão técnica de outro engenheiro antes de virar parágrafo público.
Princípio editorial nº 1
Equipe principal
Pessoas que assinam o trabalho.
A foto de cada pessoa fica fora do ar por escolha editorial. Quem assina o relatório é a metodologia, não o rosto.
JM
João Marcondes
Resposta a incidentes
Conduziu mais de quarenta operações de contenção. Antes da Vetra, trabalhou em CSIRT de uma operadora nacional de telecomunicações.
AP
Aline Prado
LGPD e governança
Advogada com pós em proteção de dados pela FGV. Atua como DPO externa para sete empresas e representa a casa junto à ANPD.
DS
Diego Saraiva
Cloud e zero-trust
Arquiteta ambientes em AWS, GCP e Azure desde 2014. Mantém a biblioteca de templates Terraform usada nos projetos de fortificação.
Como trabalhamos
Princípios operacionais.
Quatro pontos que sustentam tudo o que assinamos. Estes princípios estão impressos na parede da copa do escritório e revisamos uma vez ao ano.
O cliente é dono do achado.
Relatórios públicos só descrevem padrões e métodos. Nomes, endereços, IPs e qualquer dado que identifique o cliente ficam dentro do contrato, sob NDA.
Nada sai por uma única assinatura.
Todo material técnico é revisto por outro engenheiro antes da entrega — interno se o caso for sensível, externo se o tema pedir uma segunda voz.
Achado sem PoC, não conta.
Cada vulnerabilidade reportada vem com prova de conceito reproduzível em ambiente controlado e instruções para o time de engenharia validar a correção.
Sem jargão para impressionar.
Se uma medida exige cinco páginas para ser explicada, escrevemos cinco páginas. Não compactamos risco para caber em um slide bonito.
Próximos passos
Quer entender se a casa serve para o seu cenário?
A primeira conversa é uma chamada de quarenta minutos com a diretoria técnica. Sem briefing comercial — apenas avaliação honesta de fit técnico.