Referenties & cases
Wat onze klanten
zeggen — en wat we vonden.
Vertrouwelijkheid is een kernwaarde. Alle cases zijn geanonimiseerd en goedgekeurd voor publicatie. De bevindingen en aanpak zijn authentiek.
Uitgevoerde opdrachten
Drie cases — drie sectoren.
Een groeiend SaaS-bedrijf met een B2B-projectmanagement platform voor circa 80 zakelijke klanten vroeg om een grey box webapplicatie pentest inclusief API, voorafgaand aan een enterprise-aanbesteding.
Een Broken Object Level Authorization (BOLA) kwetsbaarheid in de API maakte het mogelijk om als ingelogde gebruiker data van andere organisaties op te vragen door het object-ID in het verzoek aan te passen. Alle klantdata was bereikbaar zonder extra rechten.
Kwetsbaarheid gepatcht, autorisatiecontroles ingevoerd op alle API-endpoints. Retest bevestigde correcte remediation. Aanbesteding succesvol afgerond.
Een Nederlandse gemeente met een DigiD-geïntegreerd burgerportaal moest jaarlijks een ICT-beveiligingsassessment aanleveren bij Logius conform de NIBAD-norm, met een strakke indieningsdeadline.
Een misconfiguratie in de sessie-afhandeling maakte verlopen sessietokens na uitloggen nog geldig. Daarnaast ontbrak adequate logging van authenticatiepogingen — een directe compliance-tekortkoming richting Logius.
Beide bevindingen verholpen vóór deadline. Rapport volledig conform NIBAD ingediend. Gemeente sloot aansluitend een jaarlijkse testovereenkomst.
Een gespecialiseerde zorginstelling met circa 200 medewerkers en een EPD-koppeling liet een gecombineerde kwetsbaarheidsscan en grey box pentest uitvoeren als voorbereiding op NEN 7510-certificering.
Verouderde softwareversies op interne servers, onbeveiligde admin-interfaces bereikbaar via het interne netwerk en onvoldoende segmentatie tussen de zorgomgeving en algemene IT-infrastructuur — samen een hoog risico op ongeautoriseerde toegang tot patiëntdata.
Prioriteitenplan per kwartaal opgesteld. Na drie maanden remediation hertest uitgevoerd. Rapport gebruikt als basis voor het NEN 7510-certificeringstraject.
Wat opdrachtgevers zeggen
In hun eigen woorden.
Ons team had niet verwacht dat er zo snel een kritieke fout gevonden zou worden. Het rapport was helder, ook voor ons niet-technische management. De samenwerking was direct en prettig — geen gedoe.
We hadden een strakke deadline voor Logius. MonkeysICT leverde op tijd, het rapport was compleet en er kwamen geen aanvullende vragen vanuit Logius. Dat zegt genoeg over de kwaliteit.
Directe communicatie, helder rapport en geen verrassingen achteraf. De technische bevindingen werden ook uitgelegd op managementniveau. We werken volgend jaar graag opnieuw samen.
Bij een offertegesprek kunnen wij, na toestemming van betreffende klanten, contact leggen met een vergelijkbare referentie uit uw sector.
Veelgestelde vragen
Praktische informatie.
Kunnen we een referentie spreken uit onze sector? +
Ja. Bij een offertegesprek kunnen wij, na expliciete toestemming van betreffende klanten, contact leggen met een vergelijkbare referentie. Neem contact op via de offertepagina.
Is er een bewerkersovereenkomst beschikbaar? +
Ja. Bij tests waarbij persoonsgegevens in scope zijn, wordt standaard een bewerkersovereenkomst (AVG-conform) gesloten vóór aanvang van de test.
Kunnen jullie ook grotere organisaties bedienen? +
Ja. Ons team werkt voor organisaties van alle groottes — van kleine SaaS-startups tot gemeenten en zorginstellingen. De aanpak wordt altijd afgestemd op de specifieke omgeving en scope.
Mogen de resultaten extern worden gedeeld? +
Het volledige technische rapport is vertrouwelijk en bedoeld voor intern gebruik en auditors onder NDA. De managementsamenvatting kan in overleg extern worden gedeeld — bijvoorbeeld richting klanten of aanbestedende partijen.
Zelf een pentest laten uitvoeren?
Wij bespreken graag vrijblijvend of een pentest bij uw situatie past. Eerlijk en zonder druk.