TheSentinelLedger
Inizia oraPrenota

Pacchetti

Scegli il piano e apri i dettagli per vedere attività, deliverable e limiti.

Starter

100 €

Baseline rapida che fotografa lo stato attuale e ti consegna azioni prioritarie veramente applicabili. È pensato per sbloccare subito le correzioni a più alto impatto senza rallentare il team.

Attività
  • Allineamento iniziale e raccolta contesto essenziale (stack, asset critici, dipendenze).
  • Scanning mirato di superfici note e configurazioni di base su un target definito.
  • Verifica hardening minimo e pratiche di segreto/chiavi dove applicabile.
Deliverable
  • Executive summary di 2–3 pagine focalizzato su rischio e impatto business.
  • Fix list priorizzata con evidenze riproducibili e guidance concreta per il dev.
  • Roadmap di 7 giorni con quick wins, ticket suggeriti e riferimenti tecnici.
Limiti
  • 1 target/app o microservizio; no test intrusivi in produzione.
  • Copertura limitata a vulnerabilità e configurazioni più comuni.
  • Non include re-test post-fix né attestazioni formali.
Continua

Pro

500 €

Valutazione applicativa mirata che unisce test manuali e analisi del perimetro più critico. Ideale per moduli sensibili, API esposte o release candidate che richiedono una verifica concreta.

Attività
  • Threat modeling leggero: identifichiamo risorse, attaccanti e percorsi d’impatto.
  • Test manuali sulle funzionalità critiche e validazione sistematica dei false positive.
  • Revisione endpoint/API con focus su authz, input validation e dati sensibili.
Deliverable
  • Report tecnico con PoC riproducibili e riferimenti a CWE/OWASP.
  • Prioritizzazione CVSS e matrice rischio-impatto con stima sforzo di fix.
  • Debrief di 30–45 minuti con il team e handoff dei ticket principali.
Limiti
  • Copertura su 1 app/modulo o microservizio con finestra test ~3 giorni.
  • Esclusi test DoS e tecniche distruttive; copertura infrastrutturale limitata.
  • Un singolo giro di chiarimenti, re-test non incluso.
Continua

Enterprise

2000 €

Audit/Pentest completo su più superfici con coordinamento e risultati pronti per board e compliance. È adatto a rilasci importanti o ambienti regolati con necessità di attestazioni.

Attività
  • Scope multiplo (app, API, configurazioni cloud/rete) e chaining di vulnerabilità.
  • Pentest manuale full-strength con tecniche avanzate e copertura autenticata.
  • Un ciclo di re-test su fix critici e validazione evidenze per chiusura ticket.
Deliverable
  • Executive + report tecnico approfondito con mappa dei rischi e trend.
  • Workshop di remediation e knowledge transfer con il team tecnico.
  • Lettera di attestazione e supporto verso audit esterni se richiesto.
Extra
  • Opzioni NDA/DPA, pianificazione su staging/prod con finestre concordate.
  • Integrazione ticketing e SLA di risposta su canali dedicati.
  • Supporto continuo durante il ciclo di fix e rilascio.
Continua

Custom

Contatto

Percorso su misura per Web3, AI/LLM, Cloud e scenari ibridi. Disegniamo obiettivi misurabili, threat model dedicato e piano di test che rispecchia i rischi reali del tuo dominio.

Ambiti tipici
  • Audit smart contract Solidity/EVM con analisi manuale e strumenti statici.
  • AI/LLM security: prompt injection, data leakage, supply chain del modello.
  • Cloud hardening (IAM, segreti, CI/CD) e revisione network perimetrale.
Processo
  • Definizione KPI di sicurezza e criteri di accettazione del rischio.
  • Threat modeling profondo e scelta delle tecniche di verifica più efficaci.
  • Piano di test iterativo con checkpoint e adattamento in corso d’opera.
Output
  • Report con exploit riproducibili, patch guidance e code snippets.
  • Re-audit post-fix e attestazione opzionale per stakeholder esterni.
  • Canali dedicati per incident response e advisory continuo.
Continua

Per chi è

  • E‑commerce con 50–500 SKU che vogliono migliorare CWV e conversione senza rifacimenti totali.
  • SaaS early‑stage/growth con bisogno di una fix list prioritaria e misurabile.
  • Media/editoriali con problemi di crawling, indicizzazione o regressioni template.
  • Team che richiedono un’analisi indipendente, azionabile in 72h sui piani standard.
  • CTO/PM che devono allocare sprint su evidenze e rischi chiari.

Per chi non è

  • Refactor o redesign completi end‑to‑end.
  • Richieste “a pacchetto ore” o perimetri indefiniti.
  • Assistenza continuativa H24: l’audit include chiarimenti, non un managed service.
  • Progetti senza accessi minimi a dati/ambienti (output troppo speculativo).
  • Ambiti non attinenti (branding, copywriting puro, campagne paid).

Domande frequenti

Cosa succede se il perimetro è più ampio del piano scelto?

Durante l’onboarding verifichiamo rapidamente l’aderenza del perimetro al piano selezionato. Se emergono aree extra (es. più repository, ambienti multipli, o analisi di infrastruttura/CDN), proponiamo un adeguamento del piano o una tranche separata, così mantieni controllo su tempi e budget senza diluire le priorità del report principale.

Potete accompagnarci nell’implementazione dei fix?

Il servizio è focalizzato sull’audit e sulla prioritizzazione. Possiamo comunque offrire un supporto di affiancamento mirato per lo startup dell’implementazione (pair review, definizione ticket, check di regressioni), oppure coordinare con i tuoi fornitori interni/esterni. Se serve execution estesa, proponiamo un follow‑up dedicato con obiettivi e KPI chiari.

Come documentate evidenze e metriche?

Ogni issue significativo include: contesto, evidenza riproducibile, severità, impatto atteso, effort stimato e rischi. Dove possibile forniamo misure baseline (es. LCP, CLS, TTFB, error rate, crawl stats) e target attesi per stimare il beneficio. Questo formato accelera la creazione di ticket e riduce ambiguità in fase di delivery.

Quali sono i limiti del report?

Il report non sostituisce una codebase review completa o un penetration test; inoltre, se l’accesso ai dati è parziale, segnaliamo chiaramente le zone d’ombra. Non includiamo esecuzione dei fix, monitoraggio continuativo o refactor totale, a meno che non siano oggetto di un’estensione concordata.

Come gestite i dati e gli accessi sensibili?

Richiediamo privilegi minimi e, quando possibile, accessi read‑only e audit‑log. I materiali sono trattati con retention definita e su richiesta sottoscriviamo un NDA (soprattutto per Enterprise/Custom). Qualsiasi credenziale può essere revocata subito dopo la consegna, senza impatto sul report finale.

Possiamo fare una call di allineamento?

Sì, prevediamo un breve kickoff per allineare obiettivi, vincoli e materiale utile. Dopo la consegna del report è incluso un ciclo di chiarimenti per facilitare l’adozione delle raccomandazioni; se emergono nuove esigenze, proponiamo un follow‑up mirato senza appesantire il percorso decisionale.

È possibile ottenere un’anteprima del deliverable?

Possiamo condividere un indice tipo e un estratto anonimizzato con esempio di fix list prioritaria. Questo aiuta a valutare struttura, profondità e forma del documento finale, così sai esattamente cosa aspettarti prima dell’acquisto dei piani standard o della definizione del preventivo.