Penetratietest laten uitvoeren — handmatig, vaste prijs, hertest inbegrepen.
Een penetratietest die geen scanner is. Handmatig uitgevoerd door een OSCP-gecertificeerde specialist, met een rapport dat zowel uw bestuur als uw ontwikkelteam direct kan gebruiken. Geen verrassingsfacturen, geen vage bevindingen, geen openstaande punten.
Een gecontroleerde aanval op uw systemen, uitgevoerd door een mens.
Een penetratietest — kortweg pentest — is een geautoriseerde simulatie van een aanval op uw web applicatie, API of infrastructuur. Het doel is niet om een lijst van bekende kwetsbaarheden af te vinken, maar om te onderzoeken of een aanvaller daadwerkelijk binnen kan komen en hoever hij of zij komt voordat iemand het merkt.
Het verschil met een geautomatiseerde vulnerability scan is fundamenteel. Een scanner draait in minuten en vindt bekende kwetsbaarheden met bekende signatures. Een penetratietest neemt dagen tot weken en vindt zaken die scanners systematisch missen: business logic-fouten, autorisatie-bypasses, IDOR's en kwetsbaarheden die ontstaan uit de combinatie van meerdere kleine zwaktes. Meer over het verschil leest u in het artikel over wat een penetratietest precies inhoudt.
Vier zekerheden, vooraf op papier.
Handmatige test door een specialist
Geen scanner met een logo eroverheen. Eén ervaren tester (OSCP, eWPTxv2, MSc Cyber Security) werkt zich door uw applicatie zoals een aanvaller dat zou doen.
Vaste prijs op basis van scope
U weet vóór de start exact wat u betaalt. Geen uurtje-factuurtje, geen meerwerkbrieven achteraf. Scope verandert? Dan praten we eerst, voordat er iets verandert in de offerte.
Rapport dat ook bruikbaar is voor uw bestuur
Managementsamenvatting in begrijpelijke taal én technische bevindingen met reproductiestappen. Eén rapport, twee doelgroepen — beiden geholpen.
Hertest standaard inbegrepen
Na het patchen verifieer ik of de bevindingen daadwerkelijk verholpen zijn. U sluit het traject af met zwart-op-wit bewijs richting toezichthouders, klanten of bestuur.
Vaste prijs op basis van scope — geen uurtje-factuurtje.
Alle offertes bij Resync zijn vaste prijzen. De prijs hangt af van de scope: het aantal endpoints of subsystemen, het type test, de doorlooptijd en de eventuele compliance-context (NIS2, NEN 7510, ISO 27001). Na een korte intake ontvangt u doorgaans binnen één werkdag een eerste indicatie.
Globaal werken we met drie scope-categorieën. Deze geven richting voor uw planning; de exacte prijs hoort u na intake.
| Scope | Typisch toepassingsgebied | Doorlooptijd | Vanaf |
|---|---|---|---|
| Compact | Eén web applicatie of API met beperkte rollen en endpoints — bijvoorbeeld een MVP of intern dashboard. | 1–2 weken | |
| Standaard | SaaS-product, gemeentelijk portaal of zorgapplicatie met meerdere rollen, API-koppelingen en authenticatieflows. | 2–3 weken | |
| Uitgebreid | Complex platform met meerdere applicaties, infrastructuur, externe ketens of multi-tenant architectuur. | 3–5 weken |
Intake, scoping, handmatige test, technisch rapport, managementsamenvatting, prioritering, en de hertest na patching. Geen los gefactureerde meerwerkposten, geen verrassingen.
Bruikbaar door bestuur én door uw ontwikkelteam.
Een pentestrapport dat eindigt in een lade is geld weggegooid. Het rapport van Resync is opgebouwd uit drie lagen — geschikt voor zowel een CISO of MT-presentatie als voor een ontwikkelaar die dezelfde dag wil patchen.
Managementsamenvatting (1–2 pagina's)
- Risico-overzicht in begrijpelijke taal, zonder jargon
- CVSS-score en bedrijfsmatige impact per bevinding
- Strategische aanbevelingen en compliance-context (NIS2, AVG, ISO 27001, NEN 7510)
Technische bevindingen
- Exacte reproductiestappen — een ontwikkelaar kan elke bevinding zelf nalopen
- Screenshots en HTTP request/response logs van de exploit
- Concrete code- of configuratieaanbeveling — geen generieke OWASP-link
- Prioritering op basis van uitbuitbaarheid en impact
Hertest & eindverklaring
- Na het patchen: hertest van alle bevindingen — inbegrepen in de prijs
- Aantoonbare eindverklaring richting toezichthouders, klanten of bestuur
- Officieel bewijs van herstel — bruikbaar voor SOC 2, ISO 27001 of NIS2-trajecten
Vijf stappen. Geen verrassingen.
-
Vrijblijvende intake
Gratis kennismakingsgesprek. Scope, doelstellingen en verwachtingen helder op papier vóór we iets afspreken.
Dag 1 -
Vaste prijs offerte
U weet van tevoren wat het kost en wat u krijgt. Geen uurtje-factuurtje, geen verborgen meerwerk.
Dag 2–3 -
Handmatige pentest
Volledig handmatig uitgevoerd. Geen geautomatiseerde scanner die u ook zelf had kunnen draaien.
Week 1–2 -
Helder rapport
Managementsamenvatting én technische details met reproductiestappen. Bruikbaar voor zowel de CISO als het bestuur.
Einde week 2 -
Hertest inbegrepen
Na het patchen verifieer ik of de bevindingen daadwerkelijk zijn opgelost. Definitieve afsluiting, geen openstaande vragen.
Na patching
Een pentest die past bij uw type applicatie.
Resync werkt met een vaste pentestmethodiek, maar de scope en focus verschillen per type omgeving. Hieronder vindt u de gespecialiseerde sectorpagina's — elk met context, voorbeelden en relevante compliance-kaders.
Antwoord op uw belangrijkste vragen.
Wat kost een penetratietest?
Bij Resync is elke offerte een vaste prijs op basis van scope — geen uurtje-factuurtje. De prijs hangt af van het aantal endpoints, het type test en de doorlooptijd. Na een korte intake ontvangt u doorgaans binnen één werkdag een eerste indicatie. Zie ook het prijsmodel hierboven.
Hoe vaak moet ik een penetratietest laten uitvoeren?
Jaarlijks voor stabiele applicaties, per release voor sterk veranderende applicaties, en altijd na een significante architectuurwijziging. Voor compliance-gedreven omgevingen (NIS2, NEN 7510, ISO 27001, SOC 2) is jaarlijks doorgaans het minimum.
Wat is het verschil tussen een pentest en een vulnerability scan?
Een scanner draait geautomatiseerd en vindt bekende kwetsbaarheden met bekende signatures — nuttig, maar bekend bij iedereen. Een penetratietest wordt handmatig uitgevoerd door een specialist en vindt wat scanners systematisch missen: logica-fouten, autorisatie-bypasses, IDOR's en multi-step exploits. Beide hebben hun plek, maar ze zijn geen vervangers van elkaar. Uitgebreide uitleg in dit artikel.
Hoe lang duurt een penetratietest?
Een web applicatie penetratietest duurt gemiddeld 3 tot 5 werkdagen. Doorlooptijd van intake tot afgerond rapport is doorgaans 1 tot 3 weken. Voor uitgebreide of complexe omgevingen loopt dat op naar 4–5 weken. Na de intake ontvangt u een exacte planning.
Wat krijg ik uit een penetratietest?
Een rapport met (1) een managementsamenvatting in begrijpelijke taal, (2) technische bevindingen met reproductiestappen die een ontwikkelaar zelf kan nalopen, (3) prioritering naar impact en uitbuitbaarheid, en (4) een hertest na patching om aan te tonen dat de bevindingen daadwerkelijk verholpen zijn. De hertest is standaard inbegrepen.
Hoe vertrouwelijk wordt informatie behandeld?
Voor elk project tekenen we standaard een NDA voordat er ook maar één technisch detail gedeeld wordt. Alle bevindingen, systeemdocumentatie en communicatie vallen onder strikte geheimhouding. Gegevens worden niet gedeeld of opgeslagen buiten wat strikt noodzakelijk is voor de uitvoering van de test.
Hebben kleine organisaties ook een penetratietest nodig?
Ja. Juist kleine en middelgrote organisaties zijn populaire doelwitten, omdat aanvallers weten dat daar minder beveiligingscapaciteit is. NIS2 verplicht bovendien steeds meer organisaties — ook in het MKB en de publieke sector — om hun beveiliging aantoonbaar op orde te hebben.
Klaar voor een penetratietest die er écht toe doet?
Eén gesprek is genoeg om scope, planning en prijs concreet te maken. Gratis intake, vaste prijs offerte, hertest inbegrepen. Reactie binnen 1 werkdag.
Plan gratis intake → Terug naar home