Harga Pentest Mengikut Saiz Syarikat: Startup, PKS dan Enterprise Malaysia
Saiz syarikat bukan sahaja menentukan bajet pentest — ia juga menentukan skop yang realistik, depth pengujian yang munasabah, dan format laporan yang berguna kepada pihak berkepentingan. Panduan ini memecahkan harga pentest Malaysia 2026 kepada tiga band: startup berperingkat awal (RM8,000–RM25,000), PKS berkembang (RM18,000–RM60,000), dan enterprise/institusi kewangan (RM80,000–RM500,000+). Anda akan belajar apa yang termasuk pada setiap band, di mana boleh berjimat tanpa mengorbankan kualiti, dan bila tiba masa untuk naik taraf kepada skop yang lebih besar.
Mengapa saiz syarikat menentukan skop, bukan hanya bajet
Ramai pemilik perniagaan menanyakan 'berapa kos pentest?' tanpa mengaitkannya dengan saiz syarikat dan profil risiko. Jawapan sebenar bergantung kepada bilangan aplikasi yang menghadap internet, jumlah pelanggan yang data mereka anda pegang, dan beban regulasi yang anda hadapi. Satu startup fintech pra-Series A dengan 200 pengguna ujian memerlukan jenis pentest yang sangat berbeza daripada bank digital berlesen BNM dengan 500,000 pengguna aktif.
Saiz syarikat juga menentukan kepada siapa laporan pentest akan dihantar. Untuk startup, laporan biasanya untuk pendiri dan CTO sahaja. Untuk PKS, ia mungkin untuk lembaga pengarah dan juruaudit luar. Untuk enterprise, laporan akan disemak oleh CISO, jawatankuasa risiko, juruaudit dalaman, juruaudit luar Big 4, dan kadang-kadang regulator. Tahap pemformatan, ringkasan eksekutif, dan pemetaan ke kawalan ISO/NIST/RMiT yang diperlukan berbeza secara signifikan.
Akhirnya, saiz menentukan frekuensi yang munasabah. Startup mungkin hanya boleh melakukan satu pentest tahunan kerana bajet. PKS yang berkembang mungkin mampu pentest tahunan + ad-hoc selepas pelancaran major. Enterprise biasanya melakukan kombinasi: pentest tahunan setiap aplikasi kritikal, PTaaS untuk perubahan berterusan, dan red team tahunan.
Band 1 — Startup (RM8,000 – RM25,000)
Untuk startup pra-Series A atau pra-revenue dengan satu produk SaaS, satu aplikasi mudah alih awal, atau API yang masih dalam beta privat, band harga RM8,000 hingga RM25,000 mencukupi untuk pentest awal yang berguna. Skop tipikal: satu aplikasi web dengan 1-2 peranan pengguna, atau satu API dengan kurang daripada 30 endpoint. Tempoh: 5–10 hari jurutera.
Apa yang anda dapat pada harga ini: ujian manual berdasarkan OWASP Top 10 dan OWASP API Security Top 10, pengesahan terhadap kerentanan biasa (IDOR, broken auth, SQL injection, SSRF), satu laporan teknikal, dan biasanya satu sesi presentasi penemuan. Anda biasanya TIDAK akan dapat: ujian logik perniagaan yang mendalam, threat modeling formal, ujian terhadap konfigurasi infrastruktur cloud, atau retest selepas pembaikan (selalunya dijual berasingan).
Untuk startup yang mahu kekal dalam band ini, fokus skop kepada permukaan serangan paling berisiko: portal pembayaran, sistem authentication, dan endpoint admin. Tinggalkan halaman marketing statik dan halaman dokumentasi awam. Vendor yang baik akan membantu skop yang ketat — vendor yang murah akan terima apa sahaja anda tawarkan dan menghantar laporan generik.
- Sesuai untuk: startup pra-Series A, MVP awal, satu aplikasi web dengan ≤50 endpoint.
- Apa termasuk: OWASP Top 10 manual, laporan teknikal, sesi debrief.
- Apa tidak termasuk: red team, threat modeling formal, retest, pengujian OT/IoT, ujian fisikal.
- Frekuensi: sekali setahun, atau selepas perubahan signifikan ke pelan langganan/pembayaran.
Band 2 — PKS Berkembang (RM18,000 – RM60,000)
Untuk Sdn Bhd dengan 20–500 pekerja, hasil tahunan RM2 juta hingga RM50 juta, dan produk yang sudah mempunyai pelanggan korporat membayar, band RM18,000 hingga RM60,000 adalah standard. Skop tipikal: satu aplikasi web utama + API + satu aplikasi mudah alih (atau gabungan setara). Tempoh: 12–20 hari jurutera. Termasuk biasanya: ujian manual mendalam, pengesahan logik perniagaan, satu pusingan retest dalam tempoh 60 hari, laporan eksekutif dalam Bahasa Malaysia + English.
PKS dalam band ini selalunya menghadapi tekanan dari pelanggan B2B mereka untuk membuktikan postur keselamatan. Soal selidik vendor (vendor questionnaire) dari pelanggan enterprise sering meminta bukti pentest tahunan. Jika anda menjual ke bank, GLC, atau syarikat multinasional, anda perlu laporan pentest yang boleh dikongsi (dengan butiran kritikal direda) sebagai sebahagian daripada paket dokumen keselamatan.
Pada band ini, pilih vendor yang memetakan penemuan ke kerangka kerja yang relevan dengan pelanggan B2B anda — biasanya ISO 27001 (kawalan A.12.6.1), SOC 2, atau jika menyentuh data perbankan, BNM RMiT. Vendor yang baik juga akan menyediakan template surat (attestation letter) yang anda boleh hantar kepada prospek/pelanggan.
- Sesuai untuk: PKS dengan 20–500 pekerja, produk SaaS dengan pelanggan korporat membayar.
- Apa termasuk: web + mobile + API, ujian manual, satu retest, laporan dwi-bahasa, attestation letter.
- Apa tidak termasuk: red team penuh, pengujian OT, ujian fisikal cawangan.
- Frekuensi: tahunan + ad-hoc selepas pelancaran major.
Band 3 — Enterprise & Institusi Kewangan (RM80,000 – RM500,000+)
Untuk syarikat besar dengan >500 pekerja, GLC, institusi kewangan berlesen BNM, syarikat berdaftar Bursa, dan operator NCII di bawah Akta Keselamatan Siber 2024, band RM80,000 hingga RM500,000+ adalah norma. Skop ini merangkumi: pelbagai aplikasi (selalunya 5–15), persekitaran cloud penuh (AWS/Azure/GCP audit), Active Directory dan identity tier, ujian internal/external network, dan kadang-kadang OT/SCADA untuk sektor utiliti/manufaktur.
Untuk institusi kewangan, RMiT BNM mensyaratkan ujian penembusan tahunan yang dilakukan oleh pihak ketiga bebas dengan kelayakan tertentu (CREST CRT, OSCP, atau setara). Laporan mesti memetakan ke kawalan RMiT yang spesifik dan disertakan dalam Cyber Risk Posture Report (CRPR) tahunan yang diserahkan ke BNM. Vendor harus menyediakan templat pemetaan ini sebagai sebahagian daripada laporan.
Red team engagement — di mana pasukan penyerang cuba mencapai 'crown jewel' tertentu (contohnya akses ke pangkalan data pelanggan utama) melalui kombinasi phishing, ekspolitasi teknikal dan kejuruteraan sosial — biasanya RM150,000 hingga RM400,000 untuk engagement 6–10 minggu. Bank tier-1 dan GLC kritikal selalunya menjalankan ini setiap 12-18 bulan.
- Sesuai untuk: GLC, bank berlesen BNM, syarikat Bursa, operator NCII, MNC dengan operasi di MY.
- Apa termasuk: 5–15 aplikasi, cloud audit, AD/identity, internal/external network, retest berbilang pusingan, pemetaan RMiT/ISO, ringkasan untuk lembaga.
- Tambahan opsyenal: red team, ujian fisikal cawangan, OT/SCADA, ujian wireless cawangan multilokasi.
- Frekuensi: pentest tahunan + PTaaS berterusan + red team 12–18 bulan.
Jadual perbandingan band harga 2026
Jadual berikut meringkaskan perbezaan utama antara tiga band. Gunakan ia sebagai panduan awal untuk menyusun bajet — bukan sebagai sebut harga muktamad.
| Dimensi | Startup | PKS Berkembang | Enterprise/RMiT |
|---|---|---|---|
| Julat harga (RM) | 8,000 – 25,000 | 18,000 – 60,000 | 80,000 – 500,000+ |
| Tempoh tipikal | 1–2 minggu | 2–4 minggu | 4–12 minggu |
| Skop aplikasi | 1 produk utama | Web + mobile + API | 5–15 aplikasi + infra |
| Hari jurutera | 5–10 | 12–20 | 30–80+ |
| Pemetaan kawalan | OWASP Top 10 | ISO/SOC 2/OWASP | RMiT/ISO/PCI/NIST |
| Retest termasuk | Selalunya tidak | 1 pusingan | 2–3 pusingan |
| Laporan eksekutif | Pilihan | Standard (BM+EN) | Multi-audien (board, regulator) |
| Sijil tester minimum | CEH/OSCP junior | OSCP/CREST PT | CREST CRT/OSCE/OSEE |
| Cocok dengan | Pre-Series A | Series A–B, GLC vendor | Bank, GLC, NCII, MNC |
Kos tersembunyi yang sering tertinggal dari sebut harga
Beberapa item kerap tidak dimasukkan dalam sebut harga awal tetapi diperlukan dalam projek sebenar. Tanya secara eksplisit semasa peringkat sebut harga: (a) retesting selepas pembaikan — jika tidak termasuk, biasanya 20-35% kos asal; (b) attestation letter untuk pelanggan B2B atau juruaudit — sesetengah vendor mengenakan RM1,500–RM5,000 tambahan; (c) laporan dwi-bahasa atau terjemahan ringkasan eksekutif — selalu masuk dalam sebut harga jika anda berurusan dengan lembaga atau regulator MY; (d) sesi presentasi penemuan kepada lembaga pengarah secara bersemuka; (e) sokongan untuk soalan vendor questionnaire dari pelanggan B2B anda selepas laporan.
Item-item ini boleh menambah 15-25% kepada harga 'asas'. Vendor yang telus akan membentangkan semuanya di hadapan. Vendor yang opaque akan mengejutkan anda dengan invois tambahan kemudian.
Bila masa untuk naik taraf ke band yang lebih tinggi
Tanda-tanda anda perlu naik taraf dari band startup ke band PKS: anda baru sahaja mengangkat Series A atau berkembang melebihi 50 pekerja; anda mula menjual kepada pelanggan korporat (bank, GLC) yang meminta bukti pentest; anda memperkenalkan modul pembayaran atau memproses lebih daripada 10,000 rekod pelanggan.
Tanda-tanda anda perlu naik taraf dari band PKS ke band enterprise: anda mendapat lesen sektor regulasi (BNM, MoH, MCMC); anda diklasifikasikan sebagai NCII di bawah Akta 854; anda melalui due diligence akuisisi atau IPO; anda mengalami insiden keselamatan yang menarik perhatian lembaga; atau pelanggan B2B utama anda mula meminta laporan SOC 2 Type II.
Naik taraf adalah baik — ia bermakna perniagaan anda berkembang. Tetapi rancangkan transisi dengan vendor secara bertahap. Lompatan terus dari pakej RM15k ke pakej RM150k tanpa baseline akan menghasilkan laporan yang penuh penemuan kritikal — bukan kerana anda tiba-tiba kurang selamat, tetapi kerana skop yang lebih dalam mendedahkan apa yang sentiasa wujud.
Bacaan Lanjut & Khidmat nCrypt
Soalan Lazim
Adakah saya boleh berjimat dengan menggabungkan beberapa aplikasi dalam satu engagement?
Ya, dan kebanyakan vendor menawarkan diskaun volume 10-20% untuk skop bundled. Tetapi pastikan vendor masih memperuntukkan hari jurutera yang mencukupi setiap aplikasi — bukan sekadar membahagikan masa yang sama. Tanya: berapa hari jurutera setiap aplikasi dalam pakej bundled berbanding standalone. Jika kurang lebih daripada 20%, anda mungkin mendapat ujian yang lebih cetek setiap aplikasi.
Berapa kerap saya patut menjalankan pentest jika saya release ciri baru setiap bulan?
Untuk pasukan dengan kadar release tinggi, pentest tahunan tunggal tidak mencukupi — kerentanan ditambahkan sepanjang tahun tetapi dijumpai hanya sekali. Pendekatan yang lebih realistik: PTaaS (Penetration Testing as a Service) dengan kontrak retainer, di mana vendor menguji ciri baru dalam tempoh 1-2 minggu selepas release. Kos PTaaS tahunan biasanya 1.5–2.5x pentest tunggal tetapi memberi liputan berterusan.
Apakah perbezaan harga jika tester berada di MY vs offshore?
Tester offshore (India, Vietnam, Filipina) selalunya 40-60% lebih murah dalam kos hari jurutera. Tetapi pertimbangkan: keperluan PDPA tentang lokasi pemprosesan data, kefahaman konteks tempatan (FPX, DuitNow, MyKad), keperluan BNM untuk tester di yurisdiksi yang patuh, dan logistik komunikasi. Hibrid (pengurusan tempatan dengan jurutera serantau) ialah model yang munasabah untuk PKS.
Adakah BNM RMiT membenarkan saya menggunakan pentest dari tahun lepas?
Hanya untuk aplikasi yang tidak berubah signifikan. RMiT menjangkakan pentest baharu selepas perubahan major atau pelancaran ciri baru. Untuk aplikasi yang sudah dewasa dengan release inkremental sahaja, pentest tahunan adalah baseline. Untuk aplikasi baharu atau diubahsuai major, pentest perlu dijadualkan sebelum go-live.
Bincang dengan Pasukan nCrypt
Pasukan CREST-aligned kami membantu institusi kewangan, agensi kerajaan dan PKS Malaysia merancang ujian penembusan, pematuhan dan respons insiden. Dapatkan sebut harga atau tempah perbincangan percuma hari ini.
Artikel Berkaitan
Ujian Penembusan & Penilaian Keselamatan
Berapakah Kos Ujian Penembusan di Malaysia? Panduan Harga 2026
Ujian Penembusan & Penilaian Keselamatan
Pasukan In-House vs Syarikat Keselamatan Siber Luar: Mana Lebih Praktikal?
Ujian Penembusan & Penilaian Keselamatan