Question 1

Wat is continuous pentesting?

Accepted Answer

Continuous pentesting geeft je doorlopend toegang tot een cybersecurity specialist die als onderdeel van je team werkt. Test, valideert en beantwoordt security-vragen. Afgestemd op je workflow en beschikbaar tijdens je hele development proces.

Question 2

Hoe verschilt dit van een pentest?

Accepted Answer

Een pentest is een momentopname met een afgebakende scope en een duidelijke einddatum. Continuous pentesting is doorlopend. Een specialist toegevoegd aan je team die test terwijl je bouwt, niet nadat je hebt gereleased. Beide hebben een ander doel en worden vaak samen ingezet.

Question 3

Hoeveel uur hebben we nodig?

Accepted Answer

Dat hangt af van je omgeving, development tempo en wat je wilt testen. Kleinere teams starten vaak met 16 uur per maand voor gerichte validatie. Grotere teams of complexe omgevingen hebben doorgaans meer capaciteit nodig. Het juiste niveau bepalen we samen, op basis van jouw situatie.

Question 4

Waar worden de uren aan besteed?

Accepted Answer

Uren kunnen worden ingezet voor het testen van nieuwe features, het reviewen van code, het valideren van fixes, het beantwoorden van security-vragen of een combinatie daarvan. Wat precies de invulling is, hangt af van je prioriteiten en kan in de loop van de tijd worden bijgesteld.

Question 5

Werken we met een vaste specialist?

Accepted Answer

Je werkt met een cybersecurity specialist die je codebase, je workflow en je omgeving leert kennen. Wanneer specifieke expertise nodig is, kunnen specialisten wisselen, zodat je altijd de juiste persoon voor de klus hebt.

Question 6

Tekenen jullie een NDA?

Accepted Answer

Ja, voordat een samenwerking begint, is er een ondertekende NDA. Alles wat we binden, zien of benaderen blijft vertrouwelijk. Uitsluitend opgeslagen in de PenPortal en nooit gedeeld buiten je organisatie.

Question 7

Wat gebeurt er met onze code en findings?

Accepted Answer

Jouw code blijft van jou. Onze specialist werkt binnen jouw omgeving, reviewt en test, en haalt nooit code naar buiten of slaat die extern op. Alle findings worden uitsluitend gedocumenteerd in de PenPortal, niet op gedeelde drives of in externe tools.

Question 8

Hoe past dit in ons development proces?

Accepted Answer

Dat bepaal je zelf. We sluiten aan op hoe je team werkt, of dat nu agile, scrum of iets anders is. Security-vragen kunnen tijdens de ontwikkeling worden beantwoord, features kunnen worden getest voordat ze live gaan en fixes kunnen worden gevalideerd op het moment dat ze worden doorgevoerd. Security wordt onderdeel van het proces, geen aparte stap.

Question 9

Hoe snel kunnen we starten?

Accepted Answer

Na een eerste gesprek om scope en uren af te stemmen, kunnen we doorgaans binnen een week starten. We tekenen een NDA voordat we beginnen en zorgen ervoor dat de juiste specialist bij jouw omgeving past.

Question 10

Kunnen findings opnieuw worden getest?

Accepted Answer

Ja, zodra een fix is doorgevoerd, kan je team direct in de PenPortal een retest aanvragen. We controleren of de issue echt is opgelost.

Question 11

Krijgen we rapportages?

Accepted Answer

Alle findings worden gedocumenteerd in de PenPortal, met context en bewijs. Rapportages kunnen worden gegenereerd wanneer dat nodig is - voor intern gebruik, compliance-eisen of management rapportage.

Question 12

Is dit geschikt voor compliance-eisen?

Accepted Answer

Continuous pentesting kan compliance ondersteunen door doorlopende validatie en gedocumenteerde findings. In veel gevallen wordt het gecombineerd met een periodieke pentest om aan specifieke eisen te voldoen, zoals ISO-certificering of NIS2.

Question 13

Kunnen we klein starten en later opschalen?

Accepted Answer

Ja, het aantal uren kan in de loop van de tijd worden aangepast, omhoog of omlaag. Je kunt starten met een afgebakende scope en de capaciteit uitbreiden naarmate je team groeit of je development tempo toeneemt.

Pentesting die meebeweegt met je team

Jouw team. Plus één.

Wat verandert er als security onderdeel is van je team

Hoe het werkt

Jouw data blijft van jou

De juiste expertise, altijd beschikbaar

Kies het juiste niveau voor je team

Je code verandert.
Je security ook.