arrow_back Semua artikel
// Artikel

Cara Memilih Jasa Penetration Testing: Panduan untuk Pembeli

Dipublikasikan 8 Juni 2026

Di atas kertas, hampir setiap jasa penetration testing menawarkan hal yang sama — pengujian web, mobile, infrastruktur, API terhadap standar OWASP. Perbedaan sebenarnya ada pada penyampaiannya, dan itulah yang menentukan apakah Anda mendapat asesmen keamanan sungguhan atau scan otomatis dengan sampul yang lebih rapi. Cara tercepat membedakannya adalah mengajukan beberapa pertanyaan spesifik: berapa banyak pengujian yang dilakukan manual, bisakah Anda melihat contoh laporan, apakah retest termasuk, dan apakah temuan dipetakan ke standar yang Anda patuhi. Panduan ini memberi Anda pertanyaan-pertanyaan itu beserta tanda bahaya yang perlu diwaspadai.

Jika Anda sedang membandingkan penyedia — dan di Indonesia saja ada lebih dari dua puluh — inilah cara melihat melampaui brosur.

Uji inti: ini pentest sungguhan, atau scan yang menyamar?

Inilah perbedaan terpenting, dan di sinilah jurang harga biasanya berasal. Vulnerability scan adalah alat otomatis yang mencocokkan aplikasi Anda dengan basis data isu yang dikenal lalu menghasilkan daftar temuan potensial, lengkap dengan false positive dan tanpa bukti. Sebagian vendor menjalankan scan itu, memformat ulang keluarannya, lalu menjualnya sebagai “penetration test”.

Penetration test sungguhan dilakukan manusia. Mereka memvalidasi tiap temuan dengan mengeksploitasinya, merangkai kelemahan kecil menjadi pelanggaran serius, dan — yang krusial — menemukan kelemahan kontrol akses dan logika bisnis yang secara struktural tak bisa dideteksi scanner (kami bahas alasannya di penetration testing aplikasi web). Itulah isu berdampak tertinggi dalam pelanggaran nyata, jadi pengujian yang tak bisa menemukannya tidak melindungi Anda.

Penandanya ada di laporan. Pentest sungguhan mendokumentasikan tiap isu dengan proof of concept yang dapat direproduksi — langkah persis untuk mewujudkannya. Scan yang dipoles memberi Anda daftar severity dan referensi CVE tanpa apa pun di baliknya. Itulah mengapa hal pertama yang harus diminta adalah contoh.

Pertanyaan yang mengungkap kualitas

Ajukan ini sebelum menandatangani apa pun. Jawabannya membedakan vendor sungguhan dari reseller dengan cepat.

  • “Metodologi apa yang Anda ikuti?” Vendor yang kredibel bekerja sesuai standar yang diakui — OWASP Web Security Testing Guide (WSTG) untuk web, MASVS untuk mobile, PTES untuk proses keseluruhan — agar cakupan konsisten dan tak ada yang penting terlewat. “Kami pakai pendekatan sendiri” tanpa detail adalah peringatan.
  • “Berapa banyak pengujian yang manual versus otomatis?” Otomasi punya tempat untuk keluasan, tetapi nilainya ada pada pekerjaan manual. Jika mereka tak bisa menjelaskan apa yang dilakukan penguji secara manual, kemungkinan Anda membeli scan.
  • “Bisakah saya melihat contoh laporan tersamar?” Inilah pertanyaan paling mengungkap. Vendor yang baik akan dengan senang hati menunjukkan contoh yang disanitasi. Bacalah: apakah temuan dijelaskan dengan proof of concept nyata dan remediasi jelas, atau hanya keluaran scanner dengan logo diganti?
  • “Apakah retest termasuk?” Menemukan kelemahan adalah separuh pekerjaan; memastikan perbaikan berhasil adalah separuh lainnya. Vendor yang percaya diri atas kerjanya menyertakan retest setelah Anda meremediasi. Jika retest adalah tambahan yang mahal, tanyakan mengapa.
  • “Bagaimana ruang lingkup dan harga ditentukan?” Vendor berkualitas menetapkan harga berdasarkan besar dan kompleksitas permukaan serangan, bukan tarif datar — lihat panduan biaya kami. Harga tetap yang ditawarkan sebelum ada yang memahami sistem Anda adalah tanda scan yang seragam.
  • “Akankah Anda menandai temuan kritis selama pengujian, atau hanya di akhir?” Penguji yang serius langsung memberi tahu Anda jika menemukan sesuatu yang aktif berbahaya, alih-alih menyimpannya untuk laporan akhir.
  • “Bagaimana data kami ditangani?” Anda memberi vendor akses ke sistem sensitif. Tanyakan tentang NDA, bagaimana data uji disimpan dan dimusnahkan, dan siapa di pihak mereka yang punya akses.
  • “Bisakah Anda memetakan temuan ke standar yang kami patuhi?” Jika Anda tunduk pada OJK, UU PDP, ISO 27001, atau SPBE/BSSN, laporan perlu berbicara dalam bahasa kerangka itu agar tahan diperiksa auditor — bukan hanya bagi engineer Anda.

Tanda bahaya

Beberapa sinyal sebaiknya membuat Anda mundur:

  • “Kami menjamin sistem Anda 100% aman.” Tak seorang pun bisa. Keamanan adalah pengurangan risiko, bukan jaminan, dan siapa pun yang menjanjikan kesempurnaan sedang berjualan.
  • Harga datar tanpa scoping. Artinya pengujian kalengan yang sama untuk tiap klien tanpa peduli ukuran — hampir selalu scan otomatis.
  • Tidak ada contoh laporan, atau contoh yang jelas keluaran scanner. Jika mereka tak mau menunjukkan hasil kerjanya, anggap kerjanya tak ada.
  • Tidak menawarkan retest. Menunjukkan kepercayaan diri rendah, atau bahwa perbaikan bukan urusan mereka.
  • Menjual murni lewat harga atau dinding logo sertifikasi, tanpa menjelaskan bagaimana mereka sebenarnya menguji. Kredensial adalah sinyal, tetapi ia bukan pekerjaannya.

Apa yang sebenarnya penting

Sederhanakan, dan pertanyaannya jelas: akankah manusia terampil benar-benar berusaha membobol sistem ini, membuktikan apa yang ditemukan, dan membantu Anda memperbaikinya? Metodologi, kedalaman manual, laporan jujur yang bisa Anda baca sebelum membeli, retest untuk menutup lingkarannya, dan temuan yang dipetakan ke kewajiban Anda — itulah yang menentukan apakah sebuah pentest melindungi Anda atau sekadar menghasilkan sertifikat. Vendor yang tepat senang dinilai persis pada poin-poin itu; lihat cara kami menyusun engagement di metodologi kami dan apa yang kami cakup di seluruh layanan kami. Untuk bagaimana tingkat akses membentuk cakupan, lihat jenis-jenis penetration testing.

Kesimpulan

Brosur tiap vendor tampak sama, jadi jangan membeli brosurnya — belilah penyampaiannya. Minta metodologinya, pembagian manual/otomatis, contoh laporan, retest, scoping transparan, dan pemetaan standar. Vendor yang menjawab semua itu dengan jelas adalah yang melakukan pekerjaan sungguhan; yang menjual lewat harga dan janji sedang menjual scan kepada Anda. Pilih berdasarkan apa yang benar-benar disampaikan, dan Anda akan mendapat keamanan alih-alih kotak centang.

Ingin jawaban lugas atas semua pertanyaan itu untuk proyek Anda? Hubungi kami dan kami pandu Anda persis bagaimana kami akan menguji sistem Anda.

Pertanyaan yang sering diajukan

Bagaimana cara memilih jasa penetration testing yang baik? add

Nilai vendor dari kualitas pengujian sebenarnya, bukan dari brosur. Sinyal terkuat adalah: metodologi yang diakui (OWASP WSTG/MASVS, PTES), pengujian manual sungguhan alih-alih scan otomatis yang diganti merek, contoh laporan tersamar yang bisa Anda tinjau sebelum membeli, retest yang termasuk untuk memastikan perbaikan, harga berbasis ruang lingkup yang transparan, dan kemampuan memetakan temuan ke standar yang menjadi tolok ukur Anda. Vendor yang bisa menunjukkan semua ini lebih aman dipilih daripada yang menjual lewat harga atau daftar sertifikasi panjang saja.

Apa beda pentest sungguhan dan vulnerability scan yang dijual sebagai pentest? add

Vulnerability scan adalah alat otomatis yang menghasilkan daftar isu potensial dengan false positive dan tanpa bukti. Sebagian vendor menjalankan scan itu, merapikan keluarannya, lalu menjualnya sebagai 'penetration test'. Pentest sungguhan dilakukan manusia yang memvalidasi tiap isu dengan mengeksploitasinya, merangkai kelemahan menjadi serangan serius, dan menemukan kelemahan kontrol akses dan logika bisnis yang secara struktural tak bisa dideteksi scanner. Penanda utamanya ada di laporan: pentest sungguhan berisi proof of concept yang dapat direproduksi, bukan sekadar daftar severity dari scanner.

Apakah sebaiknya memilih pentest termurah saja? add

Harga semata adalah filter yang buruk, karena penawaran termurah sering kali adalah scan otomatis yang disunting tipis dan melewatkan kelemahan berdampak tinggi yang akan ditemukan pengujian sungguhan — meninggalkan Anda dengan rasa aman palsu dan kotak centang kepatuhan yang tak mencerminkan kenyataan. Bandingkan apa yang benar-benar disampaikan: kedalaman pengujian, metodologi, kualitas laporan, dan apakah retest termasuk. Harga sedikit lebih tinggi untuk pengujian manual sungguhan biasanya bernilai lebih baik.

Pertanyaan apa yang harus diajukan ke vendor pentest sebelum menyewanya? add

Tanyakan: Metodologi apa yang Anda ikuti? Berapa banyak pengujian yang manual versus otomatis? Bisakah saya melihat contoh laporan tersamar? Apakah retest untuk memastikan perbaikan termasuk? Bagaimana ruang lingkup dan harga ditentukan? Akankah Anda memberi tahu temuan kritis selama pengujian atau hanya di akhir? Bagaimana data kami ditangani dan dilindungi? Dan bisakah Anda memetakan temuan ke standar yang kami patuhi — OWASP, ISO 27001, UU PDP, OJK, atau SPBE/BSSN? Jawabannya mengungkap kualitas dengan cepat.

Punya sistem yang perlu diuji?

> Hubungi_Kami