Testy penetracyjne SaaS: SOC 2, ISO 27001 i bezpieczeństwo oprogramowania B2B

Firmy B2B SaaS doświadczają rosnącej kontroli bezpieczeństwa ze strony klientów korporacyjnych: SOC 2 Type 2 (USA), ISO 27001:2022 (globalnie), NIS2 (UE 'podmioty kluczowe'), kwestionariusze bezpieczeństwa klienta. Matproof Sentinel wykonuje ukierunkowane pentesty SaaS skupione na izolacji multi-tenant, bezpieczeństwie API i raportach gotowych do audytu jako dowód SOC 2/ISO 27001, od 149 EUR.

Rozpocznij darmowy skan

Written by Malte Wagenbach

Founder of Matproof Security. Specialized in AI-driven penetration testing and EU compliance (DORA, NIS2, ISO 27001, SOC 2).

Last reviewed: May 17, 2026

Dlaczego B2B SaaS wymaga specjalistycznego skupienia pentestu

Firmy B2B SaaS stoją przed unikalnym wyzwaniem bezpieczeństwa: każdy klient oczekuje gwarancji bezpieczeństwa, że SaaS chroni jego dane przed innymi klientami (izolacja multi-tenant) i przed atakującymi zewnętrznymi. SOC 2 Type 2 jest de facto standardem dla sprzedaży korporacyjnej w USA, Trust Services Criteria 9.5 jawnie wymaga testów penetracyjnych. ISO 27001:2022 A.8.29 ('Security testing in development and acceptance') czyni pentesty obowiązkowymi dla międzynarodowych klientów korporacyjnych. NIS2 (kryteria 'podmiotów kluczowych' UE, dostawcy SaaS obsługujący sektory krytyczne są zazwyczaj w zakresie) wymaga okresowych testów bezpieczeństwa wg art. 21. Poza zgodnością specyficzne wzorce ataków SaaS obejmują: naruszenia izolacji multi-tenant (klient A uzyskuje dostęp do danych klienta B), nadużycie tokenów API, eskalację zakresu OAuth, obejście podpisywania webhooków oraz ataki łańcucha dostaw przez integracje SaaS-do-SaaS (Zapier, Make.com).

SOC 2 Type 2: Trust Services Criteria 9.5 wymaga testów penetracyjnych, bezpośredni dowód dla klientów korporacyjnych w USA; firmy audytorskie zazwyczaj wymagają aktualnego (<12 miesięcy) pentestu.
ISO 27001:2022 A.8.29: 'security testing in development and acceptance', obowiązkowy dla certyfikacji ISO 27001.
NIS2 (UE): dostawcy SaaS obsługujący sektory krytyczne (energia, bankowość, zdrowie, transport) są 'podmiotami kluczowymi', art. 21 wymaga okresowych testów bezpieczeństwa.
Kwestionariusze bezpieczeństwa klienta (CAIQ, Vendor Security Alliance): 90% zawiera 'udokumentowane testy penetracyjne' jako pytanie tak/nie z wymaganym dowodem.
Izolacja multi-tenant: ryzyko specyficzne dla SaaS, klient A odkrywający dane klienta B przez naruszenie infrastruktury współdzielonej. Pentest GitLab z 2023 (Project Trillium) zidentyfikował 8 wycieków danych cross-tenant.
Bezpieczeństwo API: API SaaS są zazwyczaj głównym driverem wartości i głównym wektorem ataku, pokrycie OWASP API Top 10 (2023) jest niezbędne.
Ryzyko łańcucha dostaw: integracje SaaS-do-SaaS tworzą kaskadowe ryzyko, naruszenie Okta (2022) kaskadowo dotknęło 600+ środowisk SaaS klientów.

Co konkretnie testujemy w aplikacji B2B SaaS

Izolacja multi-tenant: testy cross-tenant access do danych z testowymi kontami klienta w różnych tenantach, manipulacja zapytań, enumeracja ID dla cross-tenant access.
Przepływy OAuth2 / OIDC: zgodność PKCE, obsługa parametru state, minimalizacja zakresu, walidacja whitelisty redirect_uri, rotacja refresh tokenów.
Uwierzytelnianie API: audyt podpisu JWT, walidacja zakresu klucza API, eskalacja zakresu OAuth, logowanie audytowe użycia klucza API.
Role-based access control (RBAC): eskalacja uprawnień między rolami (Viewer → Admin), pozioma eskalacja (User A → User B w tej samej roli), izolacja workspace w wielo-workspace SaaS.
Bezpieczeństwo webhooków: walidacja podpisu HMAC na webhookach wychodzących (wy → klient), walidacja HMAC na przychodzących (klient → wy), zapobieganie atakom replay.
Obsługa custom domain: subdomain takeover (osierocone rekordy DNS), walidacja certyfikatu SSL custom domain, host header injection.
Integracja SAML/SSO: ataki SAML signature wrapping, XML signature exclusion, obejście SSO przez przepływ resetu hasła.
Audit logging: zgodność GDPR art. 32 i SOC 2 CC7.2, integralność logów (tamper-evident), weryfikacja okresu przechowywania, bezpieczeństwo audit log dostępnego dla klienta.
API rate limiting: rate limity per klient (uniknięcie noisy neighbor), ochrona DDoS na poziomie API gateway, nadużycia billingowe (inflacja wywołań API).
Dostęp do backupu: bezpieczeństwo endpointu eksportu danych klienta, kontrola dostępu do plików backupu, implementacja prawa do bycia zapomnianym klienta (GDPR art. 17).

Sample finding

Critical

Naruszenie izolacji multi-tenant przez endpoint API, czyli klient A uzyskuje dostęp do danych klienta B

Nasz pentest platformy B2B SaaS wykrył krytyczne naruszenie izolacji multi-tenant. Endpoint /api/exports/download przyjmuje parametr file_id do pobrania eksportowanych danych klienta. Endpoint waliduje, że uwierzytelniony użytkownik ma dostęp do pobierania eksportów (sprawdza uprawnienie 'download'), ale nie waliduje, że żądany file_id należy do tenanta użytkownika. Inkrementując file_id sekwencyjnie (file_id=1, 2, 3...), uzyskaliśmy dostęp do plików eksportu z 47 różnych tenantów klientów, w tym danych finansowych, list klientów i dokumentów wewnętrznych. Czas od uwierzytelnionego użytkownika do ekstrakcji danych cross-tenant: 8 minut. To klasyczny przykład awarii izolacji multi-tenant w SaaS.

Fix: Działanie natychmiastowe (priorytet 1): dodaj weryfikację tenant_id do endpointu /api/exports/download, sprawdź, że tenant eksportu odpowiada tenantowi uwierzytelnionego użytkownika. Weryfikacja: po naprawie żądanie pobrania eksportu innego tenanta musi zwrócić 403. Działania systemowe: middleware weryfikacji tenant_id stosowane automatycznie na wszystkich endpointach API (wzorzec zero-trust); UUID zamiast sekwencyjnych ID dla plików eksportu; audytuj logi cross-tenant access z ostatnich 90 dni w celu identyfikacji potencjalnych wcześniejszych eksploitacji; powiadomienie security advisory dla dotkniętych klientów wg GDPR art. 33 (powiadomienie o naruszeniu danych, 72h).

Reference: OWASP API1:2023 Broken Object Level Authorization · CWE-639 Authorization Bypass Through User-Controlled Key · CWE-862 Missing Authorization · GDPR art. 32(1)(b) · SOC 2 CC6.1

Porównanie opcji pentestu SaaS

—	Free scan	Matproof Sentinel	Traditional consultancy
Automated scan engine	✓ (3-min preview)	✓ Full scan	✗ Manual only
OWASP Top 10 coverage	Partial	✓ Complete	✓ Complete
Proof-of-exploit evidence	✗	✓ Per finding	✓ Per finding
Regulatory mapping (DORA/NIS2/ISO 27001)	✗	✓ Automated	✓ Manual
Audit-ready PDF report	✗	✓ Instant	✓ 2–4 weeks delivery
Continuous / recurring scans	✗	✓ Per deploy	✗ Annual engagement
Time to first result	~3 min	~30 min full scan	2–4 weeks
Price	€0	From €149	€8,000–€25,000
Source code review (SAST)	✗	✓ On Growth plan	✓ Scoped engagement
API testing (REST/GraphQL)	✗	✓ Automated	✓ Manual

Pakiety pentestów SaaS

Single Run

€149 one-time

1 full pentest scan
AI-prioritized findings with CVSS 3.1
Proof-of-exploit per finding
Audit-ready PDF report
Regulatory mapping (DORA, NIS2, ISO 27001)

Unlimited scans (up to 3 domains)
Continuous monitoring
CI/CD integration (GitHub, GitLab)
All regulatory mappings
Priority support

Start Starter →

Growth

€799 / month

Unlimited scans + domains
Authenticated / White-Box testing
API & cloud infrastructure tests
Dedicated security account manager
24h SLA response time

Contact for Growth →

Najczęściej zadawane pytania o pentest SaaS

Czy Matproof Sentinel wystarczy do audytu SOC 2 Type 2?

Tak. SOC 2 Type 2 (CC9.5) wymaga udokumentowanych testów penetracyjnych wykonanych przez wykwalifikowane strony. Nasz raport zawiera metodologię, kwalifikacje testerów (certyfikaty równoważne OSCP), zakres, ustalenia, remediation i weryfikację po naprawie, dokładnie to, co sprawdzają audytorzy SOC 2.

Jak działa testowanie multi-tenant bez wpływu na innych klientów?

Używamy testowych kont w różnych tenantach (dostarczacie 2+ testowe tenanty, idealnie z różnymi poziomami subskrypcji). Całe testowanie odbywa się między tymi testowymi tenantami, prawdziwe dane klientów nie są dostępne. Dla środowisk produkcyjnych możemy też testować na staging o identycznej konfiguracji.

Czy testujecie integracje SAML/SSO (Okta, Azure AD, Google Workspace)?

Tak. Testujemy walidację podpisu SAML (ataki SAML signature wrapping), XML signature exclusion, próby obejścia SSO przez przepływ resetu hasła, replay odpowiedzi SAML. Dla integracji Okta/Azure AD testujemy konfigurację po waszej stronie, a nie sam IdP.

Czy pentest można powtarzać kwartalnie jako dowód ISO 27001?

Tak. Plan Starter (299 EUR/mc) i Growth (799 EUR/mc) zawierają ciągłe skanowanie. Wiele certyfikowanych ISO 27001 firm SaaS uruchamia miesięczne skany Matproof Sentinel oraz coroczny zewnętrzny pentest w kombinacji.

Czy dostarczacie dowodów dla kwestionariuszy bezpieczeństwa klienta (CAIQ)?

Tak. Nasz raport zawiera strukturyzowane odpowiedzi na typowe pytania CAIQ (Consensus Assessments Initiative Questionnaire): częstotliwość testów penetracyjnych, metodologia, zakres, śledzenie remediation. Oszczędza znaczący czas na odpowiedziach na kwestionariusze bezpieczeństwa klienta.

Jak obsługujecie naszą architekturę mikrousług (10+ usług)?

Zrównoleglamy skan między usługami. Typowy harmonogram: 2-4 godziny dla 10-30 mikrousług. Każda usługa testowana pod kątem OWASP Top 10, specyficznych podatności API, uwierzytelniania service-to-service.

Czy testujecie konkretnie nasze wdrożenie Kubernetes/EKS/GKE?

Tak, w planie Growth. Testujemy: pod security policies, RBAC, zarządzanie sekretami, podatności obrazów kontenerów (integracja Trivy/Snyk), network policies, konfiguracja ingress controllera.

Czy testujecie nasz portal API skierowany do klientów?

Tak. Pentest API portalu jest częścią naszego skanu SaaS: uwierzytelnianie deweloperów, bezpieczeństwo generowania/rotacji kluczy API, ekspozycja endpointu dokumentacji, integracja przepływu OAuth.

Go deeper — related blog articles

Pentest SaaS gotowy do audytu SOC 2 / ISO 27001

Pierwszy skan w 3 minuty, kompletny pentest SaaS w 60-90 minut z testami izolacji multi-tenant. Raport SOC 2 / ISO 27001 / NIS2-ready od 149 EUR.