M&A · TECH DD · VENDOR RISK

Penetratietest voor due diligence en overnames.

Een transactie staat of valt met vertrouwen, en beveiliging is een steeds zwaarder wegend onderdeel van dat vertrouwen. Resync levert een handmatige penetratietest met een rapport dat kopers, investeerders en hun adviseurs accepteren: CVSS-gescoord, gekoppeld aan SOC 2/ISO 27001/OWASP, en klaar voor de data room. Start binnen 1–2 weken, waar grote bureaus u maanden laten wachten. Voor het volledige pentestaanbod en prijsmodel: zie de overzichtspagina.

Bespreek uw deadline → Wanneer heeft u dit nodig?
Start binnen 1–2 weken Rapport dat kopers accepteren Vaste prijs Hertest inbegrepen
⏱ Een due-diligence deadline schuift niet op.

Closing-datums, investeringscommissies en vendor-assessments hebben een vaste agenda. Een ontbrekend of zwak securityrapport wordt dan geen detail, maar een dealrisico: vertraging, een lagere waardering of afgedwongen garanties. Hoe eerder de test loopt, hoe meer tijd er overblijft voor herstel vóór de deadline.

Plan binnen uw deadline →
Wanneer heeft u dit nodig?

Vier momenten waarop een DD-pentest het verschil maakt.

Een due-diligence pentest is geen aparte testmethode, maar een penetratietest met een rapport dat is afgestemd op de vragen die in een transactie of assessment gesteld worden. Vier situaties komen het vaakst voor:

Koperszijde (buy-side)

U neemt een bedrijf over en wilt vóór de handtekening weten welke technische risico's u meekoopt. Een onafhankelijke pentest op het product van de target legt verborgen schuld bloot vóórdat het uw probleem wordt.

Verkoperszijde (sell-side)

U bereidt een verkoop of investering voor. Door uw eigen product vooraf te laten testen en bevindingen te herstellen, voorkomt u dat beveiliging een breekpunt of waarderingskorting wordt tijdens de onderhandeling.

Kapitaalronde & investeerders

Een VC of private-equity-partij vraagt tijdens de due diligence om bewijs dat uw platform veilig is. Een recent pentestrapport met hertest-verklaring is het sterkste document dat u kunt overleggen.

Vendor risk assessment

Een grote klant of toezichthouder eist een pentest voordat ze tekenen of u toelaten als leverancier. Het rapport sluit aan op hun security questionnaire en versnelt het inkoopproces.

Scope

Wat Resync test in een due diligence.

De exacte scope wordt in de intake bepaald aan de hand van de transactie en de risico's die ertoe doen. Veelvoorkomende onderdelen:

De applicatie & API's

De kern van de waarde: webapplicatie, REST/GraphQL-API's, business logic, autorisatie en multi-tenant scheiding. OWASP Top 10 plus logica-fouten.

Authenticatie & autorisatie

SSO, sessiebeheer, rolmodel en IDOR. Precies waar snelgegroeide producten vaak het zwakst zijn, en waar een koper het meest naar vraagt.

Infrastructuur & cloud

Externe aanvalsoppervlak, misconfiguraties in cloud-omgevingen (tenants, buckets, IAM), blootgestelde services en secrets.

Secrets & toeleveringsketen

Blootgestelde API-sleutels, credentials in repositories, en de afhankelijkheid van kritieke third-party-componenten. Relevant voor de risico-inschatting van een koper.

Het rapport

Een rapport dat in de data room past.

Een DD-rapport heeft twee lezers: het dealteam dat een go/no-go neemt, en het technische team dat erna moet herstellen. Het rapport van Resync bedient beide, in lagen:

  • Samenvatting voor het dealteam, één pagina: het risicobeeld in begrijpelijke taal, geschikt voor een investeringscommissie of overnameteam
  • Risicogescoorde bevindingen, met CVSS en bedrijfsmatige impact, geprioriteerd op uitbuitbaarheid
  • Framework-mapping, bevindingen gekoppeld aan OWASP, SOC 2 en ISO 27001 waar relevant, zodat ze aansluiten op de vragen in de data room
  • Herstelpad, concrete, op het product geschreven aanbevelingen, geen generieke links
  • Hertest-verklaring, na herstel, als formeel bewijs dat de risico's daadwerkelijk verholpen zijn, vaak doorslaggevend richting koper of investeerder
Oordeel zelf

Benieuwd hoe zo'n rapport eruitziet? Bekijk een volledig voorbeeldrapport, direct te downloaden, geen formulier. Zo weet u vooraf precies welk document u in de data room legt.

Waarom Resync voor due diligence

Snel, vast geprijsd, door één senior tester.

Start binnen 1–2 weken

Geen wachtrij achter een accountmanager. Waar grote bureaus 2 tot 6 maanden vooruit plannen, kan ik doorgaans binnen uw transactie-deadline starten.

Vaste prijs, geen open eind

Tijdens een deal wilt u geen uurtje-factuurtje dat oploopt. U weet vooraf wat het kost. Zie het prijsmodel.

Altijd dezelfde senior tester

OSCP- en eWPTxv2-gecertificeerd, MSc Cyber Security. Geen juniors op uw meest gevoelige dossier, en directe communicatie zonder tussenlaag.

Vertrouwelijkheid als standaard

NDA standaard, vóór er één technisch detail wordt gedeeld. Discreet werken binnen een lopende transactie is de norm, niet de uitzondering.

Veelgestelde vragen

Vragen vanuit kopers, verkopers en investeerders.

Hoe snel kunt u starten?
Doorgaans binnen 1 tot 2 weken na akkoord op de offerte. De doorlooptijd van intake tot afgerond rapport is meestal 1 tot 3 weken. Omdat ik als enige senior tester het hele traject doe, zonder wachtrij, past dit doorgaans binnen een closing- of investeringsdeadline. Laat uw deadline weten en u hoort binnen één werkdag of het haalbaar is.
Werkt u voor de koper of de verkoper?
Beide. Koperszijde: een technische due diligence op de target vóór de overname. Verkoperszijde: uw eigen product laten testen zodat beveiliging geen breekpunt of waarderingskorting wordt. En voor kapitaalrondes of vendor risk assessments van een grote klant geldt hetzelfde rapport.
Welke frameworks dekt het rapport?
Bevindingen worden CVSS-gescoord en waar relevant gekoppeld aan OWASP, SOC 2 en ISO 27001. Daardoor sluit het rapport direct aan op een security questionnaire of de vragen van een technisch adviseur in de data room, en hoeft u niets te vertalen.
Wat als het product nog niet "af" is?
Dat is bij snelgegroeide scale-ups eerder regel dan uitzondering, en juist een reden om te testen. Het rapport beschrijft niet alleen de bevindingen, maar ook het herstelpad en de prioriteit. Bij een sell-side-traject kunt u de belangrijkste punten vóór de deadline herstellen en met de hertest-verklaring aantonen dat ze opgelost zijn.
Hoe gaat u om met vertrouwelijkheid in een lopende deal?
Een NDA wordt standaard getekend voordat er ook maar één technisch detail wordt gedeeld. Er wordt discreet gewerkt, bij voorkeur in een acceptatie-omgeving, en alle data-fragmenten worden na afronding aantoonbaar vernietigd. Communicatie verloopt rechtstreeks met mij, niet via een team.
Wat kost een due-diligence pentest?
Een vaste prijs op basis van scope, net als elke pentest bij Resync. De meeste DD-trajecten vallen in de categorie Standaard of Uitgebreid, maar de exacte scope bepaalt de prijs. Na een korte intake hoort u doorgaans binnen één werkdag een indicatie. Zie het prijsmodel voor de scope-categorieën.

Een deadline in zicht? Laten we het halen.

Eén gesprek over scope, deadline en de vorm van het rapport. Offerte met vaste prijs binnen één werkdag, start binnen 1–2 weken, hertest inbegrepen.

Bespreek uw deadline → Bekijk het pentestaanbod
Start binnen 1–2 weken Vaste prijs Hertest inbegrepen
Gerelateerd

Andere pagina's & diensten

DIENST · PENTEST

Penetratietest laten uitvoeren

Het volledige aanbod: scope-categorieën, proces en prijsmodel.
RAPPORT · VOORBEELD

Voorbeeld pentestrapport

Zie precies welk document u in de data room legt, direct te downloaden.
DIENST · WEB APP

Webapplicatie-pentest

OWASP, business logic en API-misbruik, de kern van de meeste DD-scopes.
Bespreek uw deadline →