Opsio - Cloud and AI Solutions
Pentest

Gratis Pentest

Gekwalificeerde Nederlandse organisaties krijgen een volledige cloud- en webapplicatie-pentest kosteloos. Uitgevoerd door senior security engineers, rapportage uitgelijnd op NIS2 en BIO. Scoping-gesprek van 30 minuten, rapport binnen 7 werkdagen.

Aanvragen gratis pentest

Wie komt in aanmerking

Gevestigde Nederlandse organisaties met 50+ medewerkers die productieworkloads draaien op AWS, Azure of GCP. Prioriteit voor bedrijven die onder NIS2 (Wbni) vallen, overheidsinstellingen onder BIO, en organisaties met een aanstaande ISO 27001 of NEN 7510 audit. Eén gratis pentest per organisatie per kalenderjaar.

Dag 1-3

1. Aanvraag & scoping-gesprek

Dien de aanvraag in. We reviewen binnen 2 werkdagen en plannen een scoping-gesprek van 30 minuten. Daarin bevestigen we geschiktheid, spreken we de scope af, en tekenen we een wederzijdse NDA en Letter of Authorisation (LoA).

Dag 4-9

2. Pentest uitvoering

Ons team voert de afgesproken scope uit: IAM-review, S3/Blob exposure audit, CIS Benchmark, OWASP Top 10 op één publieke webapplicatie, externe perimetertest. Alle tests schriftelijk geautoriseerd.

Dag 10-12

3. Rapport & debriefing

PDF rapport uitgelijnd op NIS2 Art. 21, BIO-controls, en uw specifieke compliance-kader. Debriefing-gesprek van 45 minuten met een senior engineer. Remediatie is separaat en optioneel.

Wat is inbegrepen

  • AWS of Azure cloud configuratie-review (IAM, S3/Blob, KMS, security groups)
  • Externe perimeter scan van publieke services
  • OWASP Top 10 scan van één webapplicatie (tot 20 pagina's)
  • Exposed-secrets check (GitHub, publieke endpoints)
  • CIS Benchmark gap-analyse
  • PDF-rapport uitgelijnd op NIS2 Art. 21, BIO, AVG Art. 32
  • 45-min debriefing met senior engineer (OSCP / CEH / AWS Security)

Wat niet is inbegrepen

  • Social engineering of fysieke beveiligingstest
  • On-premise infrastructuur (alleen cloud workloads)
  • Mobiele app binary analyse
  • Volledige red-team engagement
  • Remediatie (separaat betaald na de gratis pentest)
  • BIO-certificering (dat is een separaat traject)

Rapport uitgelijnd op uw compliance-kader

BIO (Baseline Informatiebeveiliging Overheid)

Mapping op BIO-maatregelen voor overheid en semi-overheid.

NIS2 (Wbni)

Art. 21 maatregelen — technisch bewijs voor essentiële en belangrijke entiteiten.

AVG Art. 32

Technische en organisatorische maatregelen — pentest als standaardproces voor regelmatige controle.

ISO/IEC 27001:2022

A.8.29 Beveiligingstesten tijdens ontwikkeling en acceptatie.

NEN 7510

Informatiebeveiliging in de zorg — aanvullend voor healthcare organisaties.

PCI DSS 4.0

Vereiste 11.4.1-3 interne en externe pentests.

Wie voert de test uit

AWS Advanced Consulting PartnerMicrosoft Solutions Partner (Azure)ISO 27001:2022 gecertificeerd5 kantoren in Zweden (EU-resident)OSCP-gecertificeerde lead engineersCEH bij elke engagementAWS Security Specialty

Aanvragen gratis pentest

We beoordelen aanvragen binnen 2 werkdagen en reageren per e-mail. Geen salesgesprek voor ons scoping-gesprek.

Veelgestelde vragen

Is dit echt gratis? Wat is de catch?

Echt gratis. De pentest is onze manier om capability te demonstreren aan gekwalificeerde prospects. We investeren 40-60 engineer-uren per engagement met de verwachting dat een deel van de klanten ons inhuurt voor betaalde remediatie of managed services. Ongeveer 35% van gratis pentest-ontvangers wordt binnen 12 maanden betalende klant. Geen verborgen kosten.

Waarom een aanvraag in plaats van een contactformulier?

Omdat een engagement van 40-60 senior engineer-uren reële kosten heeft. We filteren op bedrijven die er werkelijk profijt van hebben en die we plausibel kunnen bedienen — typisch 50+ medewerkers met productie-cloud workloads en een actieve compliance- of veiligheidsbehoefte.

Is het testen juridisch geautoriseerd?

Ja, altijd. Na het scoping-gesprek tekenen we een wederzijdse NDA en een Letter of Authorisation (LoA) die scope, timing, targets en toegestane technieken documenteert. Uw juridische team ontvangt de LoA voor start van tests. Ongeautoriseerd testen is strafbaar onder art. 138ab Wetboek van Strafrecht — we nemen hier geen shortcuts.

Hoe lang duurt het hele proces?

Ongeveer 12 werkdagen. Dag 1-3: aanvraag-review en scoping-gesprek. Dag 4-9: actieve tests. Dag 10-12: rapport en debriefing. Voor tijdgevoelige audit-deadlines kunnen we comprimeren — bespreek dit tijdens de scoping.

Wordt het rapport geaccepteerd door mijn NIS2-toezichthouder of BIO-auditor?

In de meeste gevallen ja. Onze rapporten zijn gemapt op NIS2 Art. 21 maatregelen en BIO-controls. Voor BIO-certificering heeft u ook een BIO-gecertificeerde auditor nodig — ons rapport levert het technisch bewijs dat die auditor beoordeelt.

Wat als jullie iets kritieks vinden?

Directe melding binnen 4 werkuren via versleutelde e-mail bij actief exploiteerbare vondsten of lopende compromittering. Het schriftelijke rapport komt aan het eind, kritieke vondsten worden dezelfde dag gedeeld.

Doen jullie dit ook voor startups onder 50 medewerkers?

Zelden. Uitzonderingen voor Series B+ scale-ups met een aanstaande ISO 27001 of NIS2 scope. Voor eerdere fases raden we eerst een automatische scan aan en later een pentest wanneer de productie-oppervlakte het rechtvaardigt.

Wie is eigenaar van de bevindingen en het rapport?

U. Het rapport is uw eigendom; wij bewaren een geanonimiseerde kopie in onze interne case library voor procesverbetering. We publiceren of delen geen bevindingen. NDA werkt wederzijds.