Servizi

Penetration Testing e Audit di Sicurezza per SaaS — Esterno, Web App, Mobile, API e Cloud

Penetration testing manuale da parte di tester con certificazioni OSCP/OSCE/CREST, rispettando gli standard che i vostri auditor e clienti si aspettano concretamente: metodologia PTES, OWASP ASVS L1–L3 per il web, OWASP MASVS per il mobile, OWASP API Security Top 10 2023, CIS Benchmark per il cloud. Ogni risultato valutato su CVSS v4.0 con contesto di rischio aziendale, executive summary leggibile dal CdA, tracker di remediation importabile in JIRA e retest gratuito entro 90 giorni. Report progettati per evidenze SOC 2 CC4/CC7, PCI DSS Req 11.4, HIPAA §164.308(a)(8), EU AI Act Articolo 15 e DORA TLPT. Test da 5.500 EUR.

Penetration test e audit di sicurezza per applicazioni SaaS e web

Gli scanner automatizzati colgono il rumore; gli esseri umani trovano i bug che vanno in produzione. I nostri ingaggi sono manuali, guidati da ipotesi e seguono PTES (Penetration Testing Execution Standard) end-to-end — pre-ingaggio, intelligence, threat modelling, analisi delle vulnerabilità, exploitation, post-exploitation e reporting. Ogni risultato è accompagnato da un PoC funzionante, un vettore CVSS v4.0 che include metriche di Minaccia e Ambientali e un blocco di remediation che i vostri sviluppatori possono inserire come ticket il lunedì mattina. I report superano il procurement enterprise, il fieldwork degli audit e la sottoscrizione di cyber-assicurazione perché la metodologia è documentata e i tester sono nominati.

Cosa consegniamo

Pentest di rete esterno

Valutazione del perimetro Internet ai sensi di PTES + NIST SP 800-115: enumerazione, analisi delle vulnerabilità, exploitation manuale dei servizi esposti, catene di attacco sulle credenziali e lo scenario di violazione che il vostro CISO deve vedere scritto.

Pentest applicazione web

Copertura OWASP ASVS L1/L2/L3: autenticazione, sessione, controllo degli accessi (incluso BOLA/IDOR), validazione degli input, abuso della logica di business, gestione file, superficie API e i dieci capitoli OWASP Top 10 2021 con exploitation attiva.

Pentest mobile (iOS + Android)

Copertura OWASP MASVS con test case MASTG: interazione con la piattaforma, archiviazione dati, crittografia, rete, autenticazione, qualità del codice, resilienza (rilevamento root/jailbreak, anti-debug) e l'analisi statica + dinamica IPA/APK che fanno anche i revisori degli store.

Pentest API

OWASP API Security Top 10 2023: BOLA (API1), Broken Authentication (API2), BOPLA (API3), Consumo Illimitato di Risorse (API4), BFLA (API5), SSRF (API7), Security Misconfiguration (API8), Improper Inventory Management (API9). REST, GraphQL e gRPC.

Audit di configurazione cloud

AWS/GCP/Azure rispetto ai CIS Benchmark e al pilastro di sicurezza del provider Well-Architected Framework: IAM, cifratura, logging, esposizione di rete, gestione dei segreti, configurazione container/serverless e revisione dei confini cross-account/cross-tenant.

Report e retest

Executive summary, metodologia con fasi PTES e capitoli ASVS/MASVS/API Top 10 citati, risultati con vettori CVSS v4.0 e PoC, narrativa dell'attacco, tracker di remediation importabile in JIRA e un retest gratuito entro 90 giorni con lettera pulita ri-emessa.

Metodologie, standard e strumenti che utilizziamo

PTES NIST SP 800-115 OSSTMM 3 OWASP Top 10 2021 OWASP ASVS L1 OWASP ASVS L2 OWASP ASVS L3 OWASP MASVS OWASP MASTG OWASP API Top 10 2023 OWASP LLM Top 10 CVSS v4.0 CWE / CAPEC CIS Benchmarks MITRE ATT&CK OSCP / OSCE / OSEP CREST CRT / CCT CISSP Burp Suite Pro Nuclei / ZAP Frida / Objection MobSF Pacu / Prowler ScoutSuite DORA TLPT CBEST / TIBER-EU

Come si svolge un ingaggio

  1. 01

    Scope e regole di ingaggio

    Settimana 0: chiamata di scoping, Regole di Ingaggio firmate (elenco target, tecniche consentite, finestre temporali, contatti d'emergenza), provisioning degli account di test, accesso al codice sorgente per grey/white-box dove nel scope.

  2. 02

    Test

    Giorni 1–N: test manuali guidati da PTES con lead nominato e tester di supporto, aggiornamenti giornalieri sullo stato, notifica immediata di ogni risultato Critical con PoC funzionante, evidenze screenshot acquisite durante tutto il processo.

  3. 03

    Report e debriefing

    Entro 5 giorni lavorativi dal termine dei test: bozza del report, chiamata di debriefing tecnico con il team di ingegneria, debriefing esecutivo con il management, report finale consegnato come PDF + tracker di remediation CSV importabile in JIRA.

  4. 04

    Retest

    Entro 90 giorni: retest gratuito di ogni risultato High e Critical, lettera di retest pulita ri-emessa per la consegna a procurement/auditor. I bundle annuali aggiungono cadenza trimestrale e retest continuo per trimestre.

Pacchetti di ingaggio

Pentest di Rete Esterno

Cinque giorni lavorativi di test + report. Scope perimetro Internet, fino a ~50 host, metodologia PTES, scoring CVSS v4.0, report executive + tecnico, retest gratuito entro 90 giorni. 5.500 EUR.

Pentest Applicazione Web

Otto giorni lavorativi. Singola applicazione web, OWASP ASVS L2 di default (L3 +30%), test autenticato multi-ruolo, OWASP Top 10 completo + logica di business, report e retest inclusi. 8.500 EUR.

Pentest App Mobile

Sette giorni lavorativi, singola piattaforma (iOS o Android). MASVS L1+R, analisi statica + dinamica, strumentazione a runtime (Frida/Objection), report e retest. Entrambe le piattaforme insieme: 13.500 EUR. Singola: 7.500 EUR.

Pentest API

Sei giorni lavorativi. Singola superficie API (REST/GraphQL/gRPC), OWASP API Security Top 10 2023, test autenticato multi-ruolo, report e retest inclusi. 6.500 EUR.

Audit di Configurazione Cloud

Sei giorni lavorativi. Singolo account AWS, GCP o Azure, CIS Benchmark + pilastro di sicurezza Well-Architected, revisione IAM/cifratura/logging/rete, backlog di hardening. 7.000 EUR.

Bundle Annuale 4 Test

Qualsiasi combinazione di quattro test nell'anno con scheduling prioritario, retest continuo in ogni trimestre, executive summary di fine anno su tutti gli ingaggi, relationship lead nominato. 22.000 EUR/anno.

Threat-Led Penetration Testing (DORA TLPT, CBEST, TIBER-EU) e ingaggi red team preventivati separatamente su base di scope personalizzato. NDA e Regole di Ingaggio firmate prima di qualsiasi test.

Perché CISO e comitati di audit scelgono YuSMP per il pentesting

Conforme al GDPR · Pronto per ISO 27001 · SOC 2 Type II in corso · Compatibile HIPAA · Guidato da OSCP/CREST

Esseri umani, non solo scanner

Ogni ingaggio è condotto da un tester nominato con certificazioni OSCP/OSCE/CREST. Gli scanner automatizzati operano in supporto per massimizzare la copertura, ma i risultati che contano provengono da test manuali basati su ipotesi ed exploitation concatenato.

Report che gli auditor accettano al primo colpo

Metodologia citata PTES, capitoli standard OWASP, vettori CVSS v4.0, tester nominati con credenziali, formato della lettera di retest mappato ai requisiti di evidenza SOC 2 / PCI / HIPAA. Nessun avanti e indietro con la società di revisione.

Remediation che viene implementata

I risultati sono scritti per lo sviluppatore che deve correggerli: riproduzione minima, analisi della causa radice, indicazioni a livello di codice, importabile in JIRA. I team di ingegneria chiudono i risultati invece di discutere il report.

Per un'assurance continua, il bundle annuale vi abbina a un relationship lead che impara il vostro stack nel corso dell'anno — il test di ogni trimestre si basa sui risultati precedenti invece di ricominciare da zero.

Cosa dicono i clienti

Le nostre app iOS e Android si erano distaccate nel corso di anni di sviluppo separato. YuSMP ha ricostruito un'unica soluzione unificata con feed video in diretta, controllo dei dispositivi smart-home e accesso multi-utente basato sui ruoli. Zero difetti critici nei primi sei mesi dal lancio.
Patrick O'Brien, CTO, Grom SecurityVedi il caso →
Le app per la privacy vivono e muoiono di fiducia. YuSMP ha realizzato un'implementazione WireGuard senza log, con una mappa della latenza dei server, connessione in un tap e kill switch — ogni funzionalità che avevamo promesso agli utenti. La revisione Apple è stata approvata alla prima submission.
Thomas Bergmann, Product Lead, LiMP VPNVedi il caso →

Domande frequenti

Di che tipo di penetration test ho effettivamente bisogno e quale standard segue il test?

Dipende dalla vostra superficie di attacco. Il pentest di rete esterno (metodologia PTES, NIST SP 800-115) copre l'infrastruttura esposta a Internet — DNS, mail, servizi perimetrali, interfacce amministrative esposte. Il pentest web app copre la logica applicativa ed è calibrato su OWASP ASVS (Application Security Verification Standard) L1 per minacce opportunistiche, L2 per la maggior parte dei SaaS che gestiscono dati sensibili, L3 per high-assurance (healthcare, fintech, difesa). Il pentest mobile segue OWASP MASVS (Mobile ASVS) e copre controlli di piattaforma (iOS/Android), rete, crittografia, autenticazione e qualità del codice. Il pentest API segue OWASP API Security Top 10 2023 (BOLA, broken auth, BOPLA, consumo illimitato di risorse, ecc.) e testa authn/authz a livello di richiesta. L'audit di configurazione cloud verifica AWS/GCP/Azure rispetto ai CIS Benchmark e al pilastro di sicurezza del provider Well-Architected Framework. La maggior parte dei SaaS necessita annualmente di web app + API + cloud config; mobile se si distribuisce un'app mobile.

Quali certificazioni possiedono concretamente i vostri tester e perché è importante?

I nostri tester principali detengono una combinazione di OSCP (Offensive Security Certified Professional — esame pratico di 24 ore), OSCE/OSEP (exploitation avanzato), CREST CRT/CCT (riconosciuto dall'industria UK, accettato da HMG e CBEST della Bank of England) e, dove pertinente, CISSP per il ruolo di senior advisor. Perché è importante: un titolare OSCP ha dimostrato di aver compromesso ambienti multi-host sotto pressione temporale; uno scanner automatizzato non lo ha fatto. I procurement enterprise, CBEST della Bank of England, EU TIBER-EU e la maggior parte dei sottoscrittori di cyber-assicurazione richiedono ora tester nominativi con credenziali sull'ingaggio, non solo la dichiarazione marketing di 'professionisti certificati' da parte di una società.

Come valutate i risultati e cosa devo aspettarmi nel report?

Ogni risultato viene valutato con CVSS v4.0 (il vettore attuale pubblicato da FIRST che include metriche di Minaccia e Ambientali, più le estensioni Safety/Automated/Recovery). Assegniamo inoltre una valutazione contestuale del rischio aziendale perché CVSS da solo non coglie il contesto di isolamento tenant e classificazione dei dati. Il report contiene: un executive summary leggibile dal CdA, una sezione metodologica che cita le fasi PTES e i capitoli ASVS/MASVS/API Top 10 testati, una sezione dei risultati con passi di riproduzione, vettore CVSS, impatto aziendale e remediation prioritizzata, una narrativa dell'attacco che ricostruisce il percorso che un attaccante seguirebbe e un'appendice delle evidenze di test. Consegniamo anche un tracker di remediation come CSV importabile in JIRA.

Come funziona il workflow di retest ed è incluso?

Sì — ogni ingaggio include un retest gratuito entro 90 giorni dalla consegna del report. Ri-eseguiamo il proof-of-concept per ogni risultato High e Critical, verifichiamo la correzione e ri-emettiamo una lettera di retest pulita che potete consegnare al procurement enterprise o a un auditor. I retest fuori scope (oltre 90 giorni o scope ampliato) sono preventivati al 30% dell'ingaggio originale. Per un'assurance continua, il bundle annuale da 4 test include cadenza trimestrale e retest continuo all'interno di ogni trimestre.

Come il vostro pentest soddisfa i requisiti SOC 2, PCI DSS Req 11.4, HIPAA e EU AI Act / DORA?

SOC 2 prevede un pentest periodico come evidenza per il monitoraggio CC4.1 e l'identificazione delle vulnerabilità CC7.1; i nostri report sono accettati da ogni grande società di revisione. PCI DSS v4.0.1 Req 11.4.3 richiede un penetration test esterno/interno annuale e dopo ogni modifica significativa; Req 11.4.5 richiede test di segmentazione (annuale per i merchant, ogni 6 mesi per i service provider). HIPAA non nomina esplicitamente il 'penetration test' ma il §164.308(a)(8) richiede una valutazione tecnica periodica — i pentest sono l'evidenza de facto. EU AI Act Articolo 15 richiede test di accuratezza, robustezza e cybersecurity; DORA (Regolamento (UE) 2022/2554) impone il Threat-Led Penetration Testing (TLPT) alle entità finanziarie significative dal gennaio 2025. Mappiamo ogni risultato al controllo pertinente affinché il report svolga una doppia funzione negli audit.

Come sono strutturati i prezzi e cosa è incluso o escluso?

Prezzi per ingaggio. Il Pentest di Rete Esterno è 5.500 EUR (5 giorni lavorativi di test + report) — scope perimetro Internet, fino a ~50 host. Il Pentest Applicazione Web è 8.500 EUR (8 giorni) — singola applicazione o multi-app con scope stretto, ASVS L2 di default. Il Pentest Applicazione Mobile è 7.500 EUR (7 giorni) — iOS o Android, MASVS L1+R; entrambe le piattaforme insieme a 13.500 EUR. Il Pentest API è 6.500 EUR (6 giorni) — singola superficie API, OWASP API Top 10 2023. L'Audit di Configurazione Cloud è 7.000 EUR (6 giorni) — singolo account AWS/GCP/Azure, CIS Benchmark + pilastro di sicurezza provider Well-Architected. Il Bundle Annuale 4-Test è 22.000 EUR — qualsiasi combinazione di quattro test nell'anno con scheduling prioritario, retest continuo e un executive summary di fine anno su tutti gli ingaggi. Retest gratuito entro 90 giorni incluso in ogni ingaggio.

Avete bisogno di un report di pentest che il vostro prossimo prospect enterprise accetti alla prima lettura?

Prenota una chiamata di scoping pentest

Richiedi una proposta

Condividete alcuni dettagli e un consulente senior risponderà entro un giorno lavorativo.

Preferite parlare direttamente? ☎ Call +374 44 871 811 ✉ sales@yusmpgroup.com