Wat is het verschil tussen een pentest en een vulnerability scan?

Een vulnerability scan is een geautomatiseerde tool die bekende kwetsbaarheden detecteert. Een penetratietest gaat veel verder: een ethische hacker probeert handmatig uw systemen te hacken, test business logic, keten aanvallen, en valideert alle bevindingen. Een pentest vindt kwetsbaarheden die scans missen en is geschikt voor compliance.

Veroorzaakt een pentest downtime of schade?

Nee, professionele pentests zijn ontworpen om geen schade of downtime te veroorzaken. Wij vermijden destructieve tests en monitoren continue de impact. Bij gevoelige systemen kunnen we in een staging omgeving testen of buiten kantooruren werken.

Veelgestelde Vragen over Penetratietesten | FAQ

Q: Wat kost een penetratietest?

Een professionele penetratietest kost vanaf €3.999 excl. BTW. De exacte prijs hangt af van de scope (aantal applicaties, pagina's, systemen), complexiteit en gewenste testdiepte. Bij CyberScore ontvangt u altijd vooraf een vaste prijs zonder verborgen kosten.

Q: Hoe lang duurt een penetratietest?

Een gemiddelde pentest duurt 1-2 weken, afhankelijk van de scope. Een kleine webapplicatie kan in 3-5 dagen getest worden, terwijl een uitgebreide enterprise omgeving 2-4 weken kan duren. Na de intake geven we een nauwkeurige planning.

Q: Heb ik een penetratietest nodig?

Een pentest is aan te raden als u: een webapplicatie of platform beheert met gevoelige data, moet voldoen aan compliance eisen (ISO 27001, NEN 7510, PCI-DSS), recent grote wijzigingen heeft doorgevoerd, of gewoon wilt weten hoe veilig uw systemen zijn. Twijfelt u? Neem contact op voor gratis advies.

Q: Hoe vaak moet ik een pentest laten uitvoeren?

Minimaal jaarlijks, of na significante wijzigingen aan uw applicatie of infrastructuur. Voor organisaties met hoge risico's (financieel, zorg, e-commerce) raden we halfjaarlijkse of kwartaaltests aan. Veel compliance frameworks vereisen ook jaarlijkse pentests.

Q: Wat ontvang ik na de pentest?

U ontvangt een uitgebreid rapport met: executive summary voor management, alle gevonden kwetsbaarheden met risico-classificatie, bewijs (screenshots, proof-of-concept), en concrete aanbevelingen voor oplossing. Daarnaast een nabespreking om de resultaten toe te lichten.

Kosten & Prijzen

Wat kost een penetratietest?

Een professionele penetratietest kost vanaf €3.999 excl. BTW. De exacte prijs hangt af van:

Scope: aantal applicaties, pagina's, API endpoints
Complexiteit: technische architectuur, aantal rollen
Test type: black box, grey box of white box
Rapportage eisen: standaard of compliance-specifiek

Bij CyberScore ontvangt u altijd vooraf een vaste prijs zonder verborgen kosten. Bekijk onze prijspakketten →

Waarom is een pentest duurder dan een security scan?

Een security scan (€100-500) is een geautomatiseerde tool die bekende kwetsbaarheden checkt. Een penetratietest is handwerk door een expert die:

Complexe aanvalsketens test die tools missen
Business logic fouten identificeert
False positives filtert
Concrete, actionable rapportage levert
Bevindingen persoonlijk toelicht

Een scan vindt ~20% van de kwetsbaarheden, een pentest komt dichter bij 80%+.

Zijn er verborgen kosten?

Nee. U ontvangt vooraf een vaste offerte inclusief alle standaard onderdelen: intake, testplan, uitvoering, rapportage en nabespreking. Alleen als u tijdens het traject de scope wilt uitbreiden, bespreken we vooraf de meerkosten.

Duur & Proces

Hoe lang duurt een penetratietest?

Een gemiddelde pentest duurt 1-2 weken, afhankelijk van de scope:

Kleine webapplicatie: 3-5 dagen
Middelgrote applicatie: 5-10 dagen
Enterprise omgeving: 2-4 weken

Na de technische intake geven we een nauwkeurige planning. De rapportage volgt binnen 5 werkdagen na afronding van de test.

Hoe verloopt het proces?

Ons proces bestaat uit 4 stappen:

Technische intake - Gratis kennismaking, scope en planning bepalen
Testplan - Formele afspraken over scope, methodiek en planning
Uitvoering - Onze experts voeren de pentest uit
Rapportage - Uitgebreid rapport + nabespreking

Meer over onze werkwijze →

Veroorzaakt een pentest downtime?

Nee, professionele pentests zijn ontworpen om geen schade of downtime te veroorzaken. Wij:

Vermijden destructieve tests (zoals DoS)
Monitoren continue de impact
Kunnen buiten kantooruren testen indien gewenst
Kunnen op staging omgeving testen

Bij kritieke productiesystemen bespreken we vooraf de voorzorgsmaatregelen.

Noodzaak & Advies

Heb ik een penetratietest nodig?

Een pentest is aan te raden als u:

Een webapplicatie of platform beheert met gevoelige data
Moet voldoen aan compliance (ISO 27001, NEN 7510, PCI-DSS, AVG)
Recent grote wijzigingen heeft doorgevoerd
Een nieuwe applicatie gaat lanceren
Klanten of partners om een pentest rapport vragen
Gewoon wilt weten hoe veilig uw systemen zijn

Twijfelt u? Neem contact op voor gratis advies.

Hoe vaak moet ik een pentest laten uitvoeren?

Minimaal jaarlijks, of vaker bij:

Significante wijzigingen aan applicatie of infrastructuur
Nieuwe major releases
Hoge risico-omgevingen (halfjaarlijks of kwartaal)
Compliance eisen die vaker testen vereisen

Veel compliance frameworks (PCI-DSS, ISO 27001) vereisen jaarlijkse pentests.

Wat is het verschil tussen black, grey en white box?

Dit verwijst naar hoeveel informatie de tester vooraf krijgt:

Black box: Geen voorkennis, simuleert externe aanvaller
Grey box: Beperkte info (bijv. login credentials), simuleert insider
White box: Volledige toegang tot code en documentatie

Grey box is vaak de beste balans tussen realisme en testdiepte. Meer over grey box testing →

Juridisch & Veiligheid

Is een penetratietest legaal?

Ja, mits uitgevoerd met schriftelijke toestemming van de systeemeigenaar. Wij werken altijd met een duidelijke scope-overeenkomst en formele autorisatie vooraf. Zonder deze toestemming zou het computervredebreuk zijn (art. 138ab Wetboek van Strafrecht).

Hoe gaan jullie om met gevoelige data?

Wij nemen vertrouwelijkheid zeer serieus:

Strikte NDA vooraf
Beveiligde overdracht van rapporten
Geen opslag van klantdata na afronding
Alleen noodzakelijke medewerkers hebben toegang

Als we tijdens de test gevoelige data tegenkomen, documenteren we dat het mogelijk was, maar kopiëren we de data niet.

Zijn jullie verzekerd?

Ja, wij hebben een beroepsaansprakelijkheidsverzekering die dekking biedt voor onze werkzaamheden. Details kunnen we op verzoek delen.

Resultaten & Rapportage

Wat ontvang ik na de pentest?

U ontvangt een uitgebreid rapport met:

Management summary - Overzicht voor directie
Alle bevindingen - Met risico-classificatie (CVSS)
Bewijs - Screenshots en proof-of-concept
Aanbevelingen - Concrete stappen voor remediation

Plus een nabespreking om de resultaten met uw team door te nemen. Meer over onze rapportage →

Wat als jullie niets vinden?

Dit komt zelden voor - we vinden vrijwel altijd verbeterpunten. Maar als uw systeem zeer goed beveiligd blijkt, is dat goed nieuws! U ontvangt dan een rapport dat dit bevestigt, wat waardevol is voor compliance en stakeholders. De prijs blijft hetzelfde.

Helpen jullie ook met het oplossen van bevindingen?

Onze rapportage bevat concrete aanbevelingen die uw ontwikkelteam kan implementeren. We bieden ook:

30-90 dagen support voor vragen over bevindingen
Hertest na remediatie (vaak inbegrepen of tegen korting)
Op verzoek: advies tijdens het oplossen

Wij voeren zelf geen remediatie uit om belangenverstrengeling te voorkomen.

Veelgestelde Vragen

Kosten & Prijzen

Duur & Proces

Noodzaak & Advies

Juridisch & Veiligheid

Resultaten & Rapportage

Nog vragen? Neem contact op!