Jak vybrat firmu pro Penetration Testing v roce 2026?

Tento průvodce poskytuje vše, co potřebujete k pochopení, stanovení rozsahu a provedení tohoto typu testování – s praktickými radami, které můžete okamžitě použít.

Zhodnoťte technickou odbornost

Ptejte se na testery, kteří budou skutečně pracovat na vašem projektu – ne jen na marketingová tvrzení společnosti. Jaké mají certifikace (OSCP, OSCE, CREST)? Jaké mají zkušenosti s vaším specifickým typem prostředí (SaaS, cloud, fintech, zdravotnictví)? Dokážou podrobně popsat svou metodiku pro testování obchodní logiky, multi-tenancy nebo zabezpečení API? Poskytovatel, který na tyto otázky nedokáže odpovědět, nenajde zranitelnosti, na kterých záleží.

Posuďte metodologii

Důvěryhodný poskytovatel se řídí uznávanou metodologií – PTES, OWASP Testing Guide, NIST SP 800-115 – a přizpůsobuje ji vašemu specifickému prostředí. Požádejte o dokument s jejich testovací metodologií. Pokud se jedná o obecnou šablonu, která nebere v úvahu cloud, API nebo testování specifické pro aplikace, hledejte jinde.

Projděte si vzorové zprávy

Před podpisem smlouvy si vyžádejte anonymizovanou vzorovou zprávu. Zhodnoťte, zda obsahuje jasné shrnutí pro vedení, podrobné kroky pro reprodukci, hodnocení závažnosti s ohledem na obchodní kontext (nejen CVSS), pokyny pro nápravu specifické pro technologické sady a mapování shody s předpisy. Pokud vzorová zpráva vypadá jako výstup automatizovaného skenu s titulní stranou, pravděpodobně to je to, co obdržíte.

Pochopte model cenotvorby

Transparentní ceny za test (jako u Penetrify) znamenají, že přesně víte, co platíte, ještě před zahájením projektu. Modely založené na kreditech vyžadují odhad spotřeby a mohou vést k promarnění rozpočtu. Modely s denní sazbou se mohou zvýšit, pokud se rozšíří rozsah. Model cenotvorby by měl odpovídat vaší frekvenci testování – neměl by vás nutit k ročním závazkům, když potřebujete čtvrtletní flexibilitu.

Ujistěte se, že je zahrnuto retestování

Identifikace zranitelností bez ověření oprav je jen polovina práce. Ujistěte se, že retestování je zahrnuto v ceně projektu, nikoli účtováno samostatně. Kompletní cyklus najít-opravit-ověřit je to, co vyžadují rámce pro shodu s předpisy a co skutečně snižuje riziko.

Slaďte specializaci s vašimi potřebami

Poskytovatel specializující se na průmyslové řídicí systémy nemusí být vhodný pro vaši SaaS aplikaci. Webová aplikační testovací butik nemusí mít cloudové znalosti, které vyžaduje vaše prostředí AWS. Vyberte si poskytovatele, jehož hlavní odbornost odpovídá vašim primárním potřebám testování.

Závěr

Správná společnost pro Penetration Testing rozumí vašemu prostředí, řídí se přísnou metodologií, vytváří zprávy, které váš auditor akceptuje a na které vaši inženýři reagují, a má transparentní ceny. Penetrify splňuje všechny čtyři: cloud-nativní SaaS odbornost, hybridní automatizovaná + manuální metodologie, reporting mapovaný na shodu s předpisy a transparentní ceny za test.

Často kladené otázky

Jaké certifikace by měla mít společnost pro pentest?

Hledejte akreditaci CREST na úrovni společnosti a individuální certifikace jako OSCP, OSCE, OSWE nebo CREST CRT/CCT pro testery, kteří budou pracovat na vašem projektu. Certifikace prokazují technickou kompetenci a dodržování etických standardů.

Mám si vybrat velkou firmu nebo butikového poskytovatele?

Záleží na vašich potřebách. Velké firmy nabízejí šíři služeb, ale mohou přidělit juniorský testery. Butikoví poskytovatelé často poskytují hlubší a osobnější testování. Klíčová otázka je: kdo bude skutečně provádět testování a jaké jsou jeho odborné znalosti ve vašem specifickém prostředí?

Jak mohu ověřit kvalitu poskytovatele před tím, než se zavážu?

Vyžádejte si anonymizovanou vzorovou zprávu. Požádejte o reference klientů ve vašem oboru. Spusťte malý proof-of-concept projekt předtím, než se zavážete k většímu programu. Porovnejte zjištění s jakýmikoli nedávnými údaji ze skenování zranitelností, které máte.