Due Diligence de Segurança em M&A 2026

Fusões e aquisições estão sendo impactadas por riscos cibernéticos ocultos que destroem valuation e geram passivos milionários. A maioria dos deals no Brasil ainda subestima a maturidade real de segurança da empresa-alvo. Neste guia definitivo, você aprenderá um framework passo a passo para conduzir due diligence de segurança com rigor técnico, visão estratégica e alinhamento regulatório.

TL;DR — Leia em 60 segundos

Due Diligence de Segurança em M&A deixou de ser item complementar e passou a ser cláusula crítica de valuation, retenção de preço e responsabilidade pós-fechamento em 2026.
Incidentes ocultos, passivos de LGPD e falhas estruturais em terceiros podem destruir até 30% do valor de um deal se não forem mapeados antes da assinatura.
O Framework #674 integra análise técnica profunda, avaliação jurídica, modelagem de risco financeiro e plano de remediação pré e pós-closing.
Sem diagnóstico contínuo, a empresa adquirente herda vulnerabilidades invisíveis que se tornam incidentes públicos em até 12 meses após a integração.

O que é Due Diligence de Segurança em M&A e por que é crítico em 2026

Due Diligence de Segurança em M&A é o processo estruturado de investigação técnica, operacional, jurídica e estratégica da postura de cibersegurança de uma empresa-alvo antes da conclusão de uma fusão ou aquisição. Em 2026, esse processo deixou de ser uma etapa meramente técnica conduzida por times de TI e passou a ser um dos pilares centrais da avaliação de risco corporativo. Em termos práticos, trata-se de responder a uma pergunta fundamental: se eu adquirir esta empresa hoje, quais riscos digitais, regulatórios e reputacionais estou comprando junto?

O contexto atual explica a urgência. O Brasil figura consistentemente entre os países mais atacados por ransomware no mundo, segundo relatórios da Check Point, Fortinet e IBM Security. Em 2025, o relatório Cost of a Data Breach apontou que o custo médio de um incidente no Brasil ultrapassou a casa dos milhões de dólares, com impactos que incluem paralisação operacional, multas regulatórias e danos irreversíveis à marca. Em processos de M&A, um único incidente oculto pode gerar disputas judiciais complexas entre comprador e vendedor, acionamento de cláusulas de indenização e retenção de parcelas do pagamento.

Em paralelo, a maturidade regulatória aumentou significativamente. A Autoridade Nacional de Proteção de Dados consolidou interpretações mais rígidas sobre responsabilidade solidária em operações societárias. Isso significa que, após a aquisição, a empresa compradora pode responder por violações de dados ocorridas antes do fechamento, caso não tenha adotado diligência adequada. O risco não é apenas técnico; é jurídico, financeiro e estratégico.

Outro fator determinante em 2026 é a expansão da superfície de ataque. Empresas médias e grandes operam em ambientes híbridos, com múltiplos provedores de nuvem, integrações via APIs, terceirização de processos críticos e uso massivo de softwares SaaS. Cada integração representa um potencial vetor de risco. Durante um M&A, a integração apressada de ambientes sem avaliação adequada multiplica essa exposição. O resultado é que muitos incidentes pós-aquisição não decorrem de ataques sofisticados, mas de falhas básicas de governança, gestão de acessos e inventário de ativos.

Além disso, investidores institucionais e fundos de private equity passaram a exigir relatórios formais de cibersegurança como condição para aprovação do investimento. Cyber risk passou a ser tratado como risco financeiro mensurável, com impacto direto no múltiplo aplicado à empresa-alvo. Negócios que demonstram maturidade em segurança conseguem negociar melhores condições, enquanto aqueles com lacunas críticas enfrentam descontos relevantes ou cláusulas de escrow ampliadas.

Em 2026, portanto, Due Diligence de Segurança não é um luxo, mas um mecanismo essencial de blindagem estratégica. Ignorar essa etapa equivale a assinar um contrato sem ler as cláusulas ocultas que podem comprometer todo o investimento.

Como funciona na prática: Anatomia completa

Na prática, a Due Diligence de Segurança em M&A é um processo multidisciplinar que envolve tecnologia, jurídico, compliance, financeiro e estratégia corporativa. O primeiro movimento consiste na definição do escopo. Nem toda aquisição exige o mesmo nível de profundidade, mas toda operação precisa, no mínimo, de um mapeamento completo de ativos digitais, políticas de segurança, histórico de incidentes e exposição regulatória.

O processo começa com coleta estruturada de informações. Isso inclui análise documental, entrevistas com executivos-chave, revisão de contratos com fornecedores críticos, avaliação de políticas internas e auditoria de controles técnicos. Diferentemente de uma auditoria tradicional, a diligência em M&A precisa ser orientada a risco e impacto financeiro. O foco não está apenas em identificar falhas, mas em estimar o custo potencial de cada vulnerabilidade.

Outro componente essencial é a validação técnica independente. Muitas empresas apresentam relatórios internos ou certificações que sugerem maturidade em segurança. No entanto, apenas testes técnicos direcionados, como varreduras externas, análise de exposição em dark web, revisão de configurações em nuvem e testes de intrusão controlados, conseguem revelar o estado real do ambiente. Em diversos casos, descobrem-se credenciais expostas, backups vulneráveis ou integrações sem autenticação adequada.

Por fim, a Due Diligence deve culminar em um relatório executivo com classificação de riscos, estimativa de impacto financeiro e plano de remediação. Esse documento não é apenas informativo; ele subsidia decisões estratégicas como ajuste de preço, retenção de valores, exigência de correções prévias ao closing ou inclusão de garantias contratuais específicas.

Avaliação técnica profunda

A avaliação técnica vai além de checklists genéricos. Ela exige análise de arquitetura, revisão de logs, verificação de controles de acesso, inspeção de políticas de backup e validação de planos de resposta a incidentes. Empresas que alegam possuir SOC 24x7 devem comprovar métricas de detecção e tempo de resposta. É comum encontrar ambientes onde ferramentas foram adquiridas, mas não estão devidamente configuradas ou monitoradas.

Análise jurídica e regulatória

O componente jurídico examina conformidade com LGPD, cláusulas contratuais com clientes, termos de confidencialidade e obrigações setoriais específicas, como normas do Banco Central ou da ANS. A ausência de registros adequados de tratamento de dados pessoais pode gerar multas significativas. Além disso, contratos com fornecedores que não possuem cláusulas de segurança robustas representam risco indireto relevante.

Modelagem de risco financeiro

A etapa de modelagem converte vulnerabilidades técnicas em números. Quanto custaria uma paralisação de 72 horas? Qual o impacto de uma multa administrativa? Qual a probabilidade de um ataque com base na maturidade atual? Essa tradução é crucial para que o board compreenda a dimensão do risco e tome decisões informadas.

Passo a passo: Implementação profissional

Fase 1: Diagnóstico e mapeamento

A primeira fase consiste em compreender integralmente o ambiente da empresa-alvo. Isso inclui inventariar ativos físicos e digitais, mapear sistemas críticos, identificar fluxos de dados sensíveis e classificar informações de acordo com criticidade. Sem visibilidade completa, qualquer avaliação posterior será superficial.

Nesta etapa, entrevistas estruturadas com CIO, CISO, DPO e gestores de áreas críticas são indispensáveis. Perguntas sobre histórico de incidentes, testes anteriores, auditorias e planos de continuidade revelam maturidade real. Muitas organizações subestimam ou omitem incidentes menores que, somados, indicam falhas sistêmicas.

Ferramentas de varredura externa e análise de superfície de ataque ajudam a identificar exposições públicas. Portas abertas desnecessárias, serviços desatualizados e vazamentos de credenciais em repositórios públicos são sinais claros de fragilidade. O resultado da Fase 1 deve ser um mapa consolidado de riscos iniciais.

Fase 2: Planejamento e arquitetura

Com base no diagnóstico, desenvolve-se um plano estruturado de aprofundamento. Nem todos os riscos têm o mesmo peso. Sistemas que suportam faturamento, dados financeiros ou informações pessoais merecem prioridade máxima. A arquitetura de segurança precisa ser analisada sob a ótica de resiliência e segregação.

Nesta fase, define-se também a estratégia de integração pós-aquisição. A empresa compradora precisa decidir se manterá ambientes segregados temporariamente ou se realizará integração imediata. Integrações precipitadas são responsáveis por muitos incidentes pós-M&A.

Além disso, é o momento de envolver jurídico e financeiro para modelar impactos contratuais. Cláusulas de indenização, retenção de valores e ajustes de preço podem ser estruturados com base nos riscos identificados.

Fase 3: Implementação e testes

Antes do fechamento, recomenda-se executar testes técnicos direcionados. Pentests focados em ativos críticos, revisão de configurações em nuvem e simulações de phishing ajudam a validar controles. Caso vulnerabilidades críticas sejam identificadas, podem ser exigidas correções prévias ao closing.

É também a fase de validação do plano de resposta a incidentes. A empresa-alvo possui playbooks claros? Existe equipe treinada? Há contrato ativo com empresa especializada em resposta? Em 2026, a ausência de plano formal é considerada falha grave.

Os resultados dos testes devem ser documentados e integrados ao relatório final de diligência, servindo como base para decisões estratégicas.

Fase 4: Monitoramento contínuo

Due Diligence não termina no fechamento. A fase pós-closing exige monitoramento intensivo por pelo menos 12 meses. Muitas vulnerabilidades só se tornam visíveis após integração completa dos sistemas.

A implementação de SOC 24x7, revisão contínua de acessos e auditorias periódicas são essenciais. O objetivo é evitar que riscos identificados se transformem em incidentes reais.

Além disso, recomenda-se estabelecer indicadores claros de maturidade e acompanhar evolução trimestralmente. A aquisição deve resultar em elevação do padrão de segurança, não em diluição.

Erros críticos e como evitá-los

Um dos erros mais comuns é tratar a Due Diligence de Segurança como checklist superficial. Empresas focam apenas em certificados ou políticas formais, ignorando testes técnicos independentes. Para evitar esse erro, é fundamental incluir validação prática.

Outro erro recorrente é envolver segurança apenas nas etapas finais da negociação. Quando riscos são descobertos tardiamente, há pouco espaço para renegociação. A participação deve ocorrer desde o início.

Ignorar terceiros críticos também é falha grave. Fornecedores de TI, processamento de dados e serviços financeiros podem ser vetores de risco indireto.

Subestimar LGPD é outro equívoco frequente. Falta de registro de tratamento de dados e ausência de DPO estruturado indicam passivo regulatório.

Integração acelerada sem plano estruturado aumenta risco exponencialmente.

Não modelar impacto financeiro reduz capacidade de negociação.

Desconsiderar histórico de incidentes impede visão realista de maturidade.

Ausência de monitoramento pós-closing transforma riscos mapeados em crises futuras.

Ferramentas e tecnologias essenciais

Ferramenta | Finalidade | Observação Estratégica --- | --- | --- Plataformas de Attack Surface Management | Mapeamento de ativos expostos | Fundamentais para visão externa independente Soluções de SIEM e SOC | Monitoramento contínuo | Devem comprovar métricas reais de detecção Ferramentas de Pentest | Testes de intrusão | Preferencialmente conduzidos por terceiros independentes Plataformas de GRC | Gestão de riscos e compliance | Integram jurídico e tecnologia Soluções de DLP | Proteção de dados sensíveis | Cruciais em ambientes com alto volume de dados pessoais Ferramentas de Backup Imutável | Resiliência contra ransomware | Verificar testes periódicos de restauração

Cada ferramenta deve ser analisada não apenas pela presença, mas pela eficácia operacional. Muitas empresas possuem soluções contratadas que não são utilizadas plenamente.

Checklist completo de implementação

Prioridade Alta: Inventário completo de ativos digitais; Mapeamento de dados pessoais; Revisão de contratos com fornecedores críticos; Teste de intrusão externo; Avaliação de backups; Análise de histórico de incidentes; Revisão de privilégios administrativos; Verificação de autenticação multifator; Avaliação de logs e retenção; Plano formal de resposta a incidentes.

Prioridade Média: Simulação de phishing; Avaliação de cultura de segurança; Revisão de políticas internas; Teste de restauração de backups; Análise de integrações via API; Revisão de configurações em nuvem; Avaliação de segregação de redes; Mapeamento de acessos de terceiros.

Prioridade Estratégica: Modelagem financeira de risco; Definição de KPIs pós-closing; Plano de integração segura; Implementação de SOC 24x7; Auditoria periódica independente.

Casos reais e estudos de caso

Em uma aquisição no setor de saúde, a empresa compradora descobriu após o closing que o ambiente da adquirida possuía backups conectados diretamente à rede principal. Um ataque de ransomware ocorrido seis meses depois comprometeu toda a operação, gerando paralisação de dez dias e custos milionários. A ausência de diligência técnica aprofundada foi determinante.

No setor financeiro, um fundo identificou durante a diligência que a fintech-alvo não possuía autenticação multifator para acesso administrativo. A exigência de correção prévia evitou risco significativo e permitiu renegociação de valuation.

Em empresa de varejo, vazamento antigo não comunicado foi descoberto na análise de dark web. O ajuste contratual incluiu retenção de parte do pagamento para cobertura de possíveis multas regulatórias.

Como a Decripte Resolve Due Diligence de Segurança em M&A: Serviços e Diferenciais

A Decripte atua com abordagem integrada que combina SOC 24x7, Resposta a Incidentes, Pentest avançado e consultoria em LGPD e compliance. Nossa metodologia é orientada a risco financeiro e impacto estratégico, não apenas a checklist técnico. Atuamos desde a fase pré-LOI até o monitoramento pós-closing, garantindo visão completa.

Nosso SOC 24x7 permite avaliação real de maturidade operacional. O serviço de Resposta a Incidentes assegura que a empresa esteja preparada para crises. Pentests direcionados identificam vulnerabilidades críticas antes que se tornem passivos ocultos. A frente de LGPD e compliance garante alinhamento regulatório.

Empresas interessadas podem iniciar pelo diagnóstico gratuito no /intelligence-center, que oferece visão inicial da exposição digital.

Mini tutorial prático: Primeiro, acesse o Intelligence Center e realize o diagnóstico gratuito. Segundo, participe de reunião de alinhamento estratégico com nossos especialistas. Terceiro, ative o plano adequado disponível em /planos para iniciar a blindagem do seu deal.

Comece Agora Gratuitamente — Acesse o Intelligence Center da Decripte e receba um diagnóstico de exposição da sua empresa em menos de 5 minutos. Sem custo, sem compromisso.

Perguntas frequentes (FAQ)

O que é Due Diligence de Segurança em M&A?

É o processo estruturado de avaliação da maturidade de cibersegurança de uma empresa antes de sua aquisição, incluindo análise técnica, jurídica e financeira para identificar riscos ocultos.

Quando deve começar a Due Diligence?

Idealmente antes da assinatura do contrato vinculante, permitindo ajustes de valuation e cláusulas contratuais.

Quem deve participar do processo?

Times de segurança, jurídico, compliance, financeiro e executivos estratégicos.

Quanto tempo leva uma diligência completa?

Depende do porte, mas geralmente entre quatro e doze semanas.

A LGPD impacta diretamente o processo?

Sim, pois pode gerar responsabilidade solidária pós-aquisição.

É obrigatório fazer pentest?

Não é obrigatório por lei, mas é altamente recomendado.

Como calcular impacto financeiro de um risco cibernético?

Por meio de modelagem baseada em probabilidade, custo médio de incidentes e impacto operacional.

O que acontece se um incidente for descoberto após o closing?

Podem ser acionadas cláusulas de indenização, mas o dano reputacional permanece.

Pequenas empresas precisam de diligência formal?

Sim, especialmente se lidam com dados sensíveis ou operam em setores regulados.

Qual a diferença entre auditoria e diligência?

Auditoria verifica conformidade; diligência avalia risco estratégico para aquisição.

A diligência termina após o fechamento?

Não, exige monitoramento contínuo por pelo menos 12 meses.

Como iniciar o processo com a Decripte?

Acesse o /intelligence-center e realize o diagnóstico gratuito inicial.

Comece agora — diagnóstico gratuito em 5 minutos

Se sua empresa está avaliando uma aquisição ou busca investimento, não avance sem visibilidade clara dos riscos digitais envolvidos. Um único incidente pode comprometer anos de construção de valor.

Acesse agora o /intelligence-center e receba diagnóstico inicial gratuito. Conheça também nossos /planos de segurança estruturados para operações de M&A.

Para aprofundar seu conhecimento, visite nosso portal em /artigos e explore conteúdos técnicos atualizados.

Blindar seu deal começa com informação e ação estruturada. O momento de agir é antes da assinatura.

Análise Técnica Aprofundada: Vetores e Táticas MITRE ATT&CK

Em operações de M&A, a superfície de ataque analisada deve ser mapeada diretamente às táticas e técnicas do MITRE ATT&CK, priorizando vetores historicamente explorados em períodos de transição organizacional. A tática Initial Access (TA0001) é frequentemente observada por meio de Spear Phishing Attachment (T1566.001) e Valid Accounts (T1078), especialmente quando colaboradores utilizam credenciais antigas após integrações parciais de identidade. Ambientes híbridos com múltiplos IdPs elevam o risco de abuso de tokens OAuth e sessões persistentes mal invalidadas.

A fase de Persistence (TA0003) costuma explorar Create or Modify System Process (T1543) e Scheduled Task/Job (T1053). Durante processos de aquisição, mudanças em ferramentas de EDR ou substituição de agentes criam janelas de oportunidade para implantes persistentes. Backdoors baseados em serviços Windows ou launch agents em ambientes macOS corporativos são frequentemente negligenciados na due diligence técnica tradicional.

Em Privilege Escalation (TA0004), ataques exploram Exploitation for Privilege Escalation (T1068) e abuso de configurações incorretas de Active Directory, como Kerberoasting (T1558.003). Em empresas adquiridas com dívida técnica elevada, permissões herdadas e grupos aninhados ampliam o risco de movimentação lateral. Avaliações devem incluir análise de ACLs críticas, delegações excessivas e presença de contas de serviço com SPNs expostos.

A tática Defense Evasion (TA0005) merece atenção especial. Técnicas como Obfuscated/Compressed Files (T1027) e Impair Defenses (T1562) são comuns quando atacantes detectam mudanças de monitoramento durante integrações. A desativação temporária de logs ou exclusões criadas em antivírus corporativos podem indicar comprometimento prévio oculto estrategicamente antes da aquisição.

Em Lateral Movement (TA0008), técnicas como Remote Services (T1021), Pass-the-Hash (T1550.002) e uso de SMB/WinRM são predominantes. Ambientes sem segmentação adequada entre redes pré e pós-deal permitem rápida propagação. Testes de simulação controlada (purple team) devem validar se a movimentação entre domínios adquiridos pode ocorrer sem detecção.

Por fim, Command and Control (TA0011) e Exfiltration (TA0010) frequentemente utilizam Web Protocols (T1071.001) e serviços legítimos como Cloud Storage (T1567.002). Durante M&A, aumento de tráfego para provedores SaaS pode mascarar exfiltração de dados estratégicos. Monitoramento de padrões anômalos de upload e análise comportamental tornam-se críticos.

Indicadores de Comprometimento e Detecção

A identificação de IOCs deve combinar indicadores estáticos (hashes, domínios, IPs) com indicadores comportamentais. Hashes isolados possuem baixa longevidade; portanto, recomenda-se priorizar behavioral IOCs, como criação de tarefas agendadas incomuns ou autenticações fora do padrão geográfico.

Regras SIEM devem correlacionar múltiplos eventos: por exemplo, autenticação bem-sucedida seguida de elevação de privilégio e criação de novo serviço em menos de 10 minutos. Queries em SPL ou KQL devem detectar sequências associadas a TTPs como T1053 + T1078. A ausência de logs esperados também deve gerar alerta (detecção por silêncio).

No nível de endpoint, regras YARA podem identificar padrões de ofuscação comuns em loaders utilizados por grupos como FIN7 ou LockBit affiliates. Assinaturas devem buscar sequências suspeitas de PowerShell codificado em Base64, uso de Invoke-Expression e chamadas WinAPI incomuns.

Monitoramento de rede deve incluir detecção de beaconing com intervalos regulares, análise de JA3/JA4 TLS fingerprint e identificação de domínios recém-criados (DGA-like behavior). Integração com feeds de inteligência de ameaças reduz tempo médio de detecção (MTTD) e aumenta precisão contextual.

Roadmap de Implementação em 12 Meses

Fase 1: Diagnóstico (Meses 1-3)

Nesta fase, realiza-se assessment completo de maturidade baseado em NIST CSF 2.0 e mapeamento MITRE ATT&CK. Devem ser conduzidos testes de intrusão focados em identidade e análise de configuração de AD/Azure AD.

Também é fundamental executar varredura de vulnerabilidades autenticada e avaliação de exposição externa (attack surface management). Métricas iniciais incluem: percentual de ativos inventariados (>95%), cobertura de logs críticos (>85%) e tempo médio de aplicação de patches.

O sucesso da fase é medido por relatório executivo com matriz de risco priorizada, identificação de crown jewels e baseline de MTTD/MTTR.

Fase 2: Fundação (Meses 4-6)

Implementação de controles críticos: MFA universal, segmentação de rede, hardening de AD e implantação ou consolidação de EDR/XDR. Integração de logs em SIEM centralizado torna-se mandatória.

Políticas de backup imutável e testes de restauração devem ser formalizados. Métricas incluem: 100% de contas privilegiadas com MFA, redução de 50% em vulnerabilidades críticas abertas e cobertura EDR acima de 98%.

Ao final da fase, deve-se observar redução mensurável na superfície de ataque externa e melhoria no score de postura de segurança.

Fase 3: Operação (Meses 7-9)

Estabelecimento ou amadurecimento do SOC com playbooks baseados em MITRE. Simulações de ataque (red/purple team) validam eficácia de detecção.

KPIs incluem MTTD < 24h e MTTR < 72h para incidentes críticos. Treinamentos executivos e técnicos fortalecem resposta coordenada.

Auditorias internas verificam aderência a LGPD, ISO 27001 ou requisitos regulatórios específicos do setor.

Fase 4: Otimização (Meses 10-12)

Foco em automação (SOAR), threat hunting contínuo e inteligência de ameaças contextualizada ao setor da empresa adquirida.

Indicadores de sucesso incluem redução de falsos positivos em 30%, aumento da detecção proativa e testes de resiliência cibernética aprovados pelo board.

Ao final, a organização deve apresentar postura resiliente validada por auditoria independente e readiness comprovado para integração total.

Perguntas Aprofundadas de Executivos Seniores

1. Estamos comprando crescimento ou herdando risco invisível?

Aquisições frequentemente embutem riscos cibernéticos não refletidos no valuation inicial. A ausência de incidentes reportados não significa ausência de comprometimento. A pergunta central não é apenas se houve violação, mas se existem indícios de persistência ativa ou dívida técnica acumulada. Uma análise forense leve (forensic readiness review) pode revelar contas órfãs, tráfego anômalo ou falhas estruturais em IAM. Executivos devem exigir evidências objetivas: relatórios de logs, cobertura de EDR, testes recentes e indicadores de exposição externa. Herdar risco invisível pode significar custos pós-deal significativamente superiores ao desconto negociado.

2. Qual é o impacto financeiro real de um incidente pós-aquisição?

O impacto vai além de multas regulatórias. Inclui perda de confiança de investidores, queda no valor das ações, interrupção operacional e custos jurídicos. Estudos recentes indicam que incidentes relevantes em até 12 meses após M&A reduzem em média 7–10% do valor de mercado combinado. Executivos devem modelar cenários de impacto com base em dados reais do setor, incluindo ransomware com paralisação total. A integração deve prever reservas financeiras e cláusulas contratuais de indenização cibernética.

3. Nossa governança está preparada para integrar culturas de segurança distintas?

Empresas adquiridas frequentemente possuem maturidade e cultura de segurança diferentes. A imposição abrupta de controles pode gerar resistência interna e shadow IT. O C-Suite deve alinhar comunicação estratégica, definindo segurança como habilitadora de crescimento. Programas de conscientização e métricas claras de accountability são essenciais para harmonização cultural e redução de risco humano.

4. Temos visibilidade suficiente para detectar ameaças avançadas?

Sem telemetria consolidada e análise comportamental, a organização opera às cegas. Visibilidade significa cobertura de endpoints, rede, identidade e cloud workloads. Executivos devem questionar se existe capacidade real de threat hunting e inteligência contextualizada ao setor. A ausência de visibilidade integrada é um dos principais fatores de falhas pós-deal.

5. Estamos preparados para responder publicamente a um incidente?

Além da resposta técnica, há gestão de crise, comunicação com reguladores e investidores. Planos de resposta devem incluir simulações com participação do board. Transparência controlada e rapidez são determinantes para preservação reputacional. Empresas que treinam previamente cenários reduzem significativamente impacto financeiro e desgaste institucional.

Due Diligence de Segurança em M&A em 2026: Framework #674 Passo a Passo para Blindar Seu Deal