Security Audit cho SMBEnglish

Audit như hacker nghĩ, không phải như scanner chạy.

Diginno giúp SaaS, e-commerce và SMB có web app/API riêng tìm ra rủi ro thật trước khi khách hàng, đối tác hoặc attacker tìm thấy. Scope rõ. Report rõ. Fix roadmap rõ.

  • Chỉ kiểm thử trong phạm vi được ủy quyền bằng văn bản.
  • AI hỗ trợ recon và tổng hợp, mọi finding quan trọng đều được con người kiểm chứng.
  • Không public case study hoặc PoC nếu chưa được chủ hệ thống cho phép.
security_screen.sh

Target segments

SaaS VN mới raise

E-commerce mid-size

Logistics/API-heavy SMB

Pain Points

> Khi nào nên audit?

Không có đội security riêng

Founder hoặc IT kiêm nhiệm đang phải tự đoán web/app của mình có phơi dữ liệu hay không.

Đối tác hoặc investor hỏi về security posture

Bạn cần một report đủ rõ để trao đổi với investor, khách enterprise hoặc team kỹ thuật.

Scanner tự động không trả lời được rủi ro thật

List lỗi dài không giúp biết bug nào cần fix trước, bug nào chỉ là noise, bug nào nối thành attack chain.

Differentiator

> Scanner chạy khác gì audit thật?

Scanner
Diginno
Liệt kê lỗi đơn lẻ theo template
Nối finding thành attack chain và tác động kinh doanh
False positive nhiều, cần tự lọc
Finding quan trọng được verify thủ công trước khi đưa vào report
Không hiểu business logic của app
Test theo luồng người dùng thật: login, order, payment, admin, API
Report khó đọc với founder
Roadmap fix ưu tiên theo mức độ rủi ro và năng lực team

AI-augmented, không AI-thay-người

Diginno dùng AI để tăng tốc recon, đọc JS bundle, gom endpoint, phát hiện pattern lạ và draft report. Quyết định cuối cùng vẫn do người audit chịu trách nhiệm.

Recon nhanh hơn: fingerprint, headers, public CVE, endpoint map.

Report rõ hơn: executive summary, risk matrix, remediation roadmap.

An toàn hơn: AI không tự động exploit ngoài scope, không thay thế manual verification.

Packages

> Gói pilot rõ scope, rõ giá

Security Scan

7.500.000 - 12.500.000đ

$300-$500 · 2-3 ngày

Re-passive + automated scan cho 1 domain

Report 5-10 trang: findings, CVSS, hướng fix
Recommended

Web Audit

20.000.000 - 60.000.000đ

$800-$2,500 · 5-10 ngày

Scan + manual black-box audit cho 1 web app

Report 15-30 trang: PoC, attack chain, roadmap ưu tiên

Audit + Fix

60.000.000 - 125.000.000đ

$2,500-$5,000 · 10-20 ngày

Audit + fix top CRITICAL/HIGH + retest

Audit report, PR/code change, retest report

Retainer: re-scan hàng tháng từ 5.000.000đ/tháng.

Process

> Quy trình không mập mờ

01

Scope & SOW 1 trang

Chốt domain, app, API, tài khoản test, giới hạn kỹ thuật và khung thời gian.

02

Recon & mapping

Fingerprint stack, map endpoint, đọc JS bundle, rà public exposure và security headers.

03

Manual verification

Kiểm thử trong scope đã ký, verify finding quan trọng và tránh false positive.

04

Report & debrief

Bàn giao report, giải thích attack chain, ưu tiên fix và tùy chọn retest.

Deliverables

> Bạn nhận được gì?

>Executive summary cho founder/CEO
>Risk matrix theo mức độ ưu tiên
>Technical finding có PoC đã verify
>Attack chain và business impact
>Remediation roadmap theo năng lực team
>Retest note nếu có gói fix hoặc retainer

Muốn xem report khác scanner thế nào?

Mẫu report sẽ cho bạn thấy Diginno trình bày rủi ro theo ngôn ngữ founder và roadmap kỹ thuật, không chỉ ném ra danh sách lỗi.

Executive summary
Risk matrix
Attack chain
PoC đã verify
Fix roadmap
Retest status
Nhận mẫu báo cáo audit

Responsible disclosure

Nếu bạn phát hiện lỗi trên hệ thống thuộc Diginno, hãy báo cho chúng tôi theo hướng có trách nhiệm. Chúng tôi trân trọng good-faith reporting trong phạm vi an toàn.

security@diginno.net

In scope

  • Domain và hệ thống do Diginno sở hữu
  • Lỗi có thể mô tả lại mà không phá hoại dữ liệu
  • Báo cáo đủ thông tin để team tái hiện an toàn

Out of scope

  • ! DDoS hoặc stress test
  • ! Spam, social engineering, phishing
  • ! Destructive testing hoặc data exfiltration
  • ! Public disclosure khi chưa có đồng ý bằng văn bản

Dịch vụ thương mại cũng tuân thủ nguyên tắc này: không audit lén, không dọa khách, không vượt scope.

FAQ

> Câu hỏi thường gặp

Diginno có audit khi chưa được phép không?

Không. Chúng tôi chỉ kiểm thử active khi có xác nhận phạm vi bằng văn bản. Trước đó chỉ có thể trao đổi hoặc làm security screen từ thông tin public nếu khách đồng ý.

Một gói audit bao gồm bao nhiêu domain hoặc app?

Giá pilot mặc định cho 1 domain hoặc 1 web app chính. Nếu có nhiều subdomain, API partner hoặc admin portal riêng, phạm vi sẽ được chốt trong SOW.

Diginno có sửa lỗi sau audit không?

Có. Gói Audit + Fix bao gồm xử lý top CRITICAL/HIGH trong phạm vi đã thống nhất và retest sau khi fix.

Report có phù hợp gửi investor hoặc đối tác enterprise không?

Có thể. Report có executive summary, risk matrix và remediation roadmap. Với yêu cầu compliance hoặc cert chính thức, chúng tôi sẽ nói rõ phần nào nằm ngoài phạm vi Diginno.

Lead Capture

Muốn biết web/app của bạn đang phơi gì?

Bắt đầu bằng một security screen 15 phút: scope nhỏ, không probe sâu, không dọa, chỉ chỉ ra những điểm đáng kiểm tra tiếp.

Lead từ form này được lưu vào contact_submissions với source=security_service_page và được gửi tiếp sang webhook automation hiện có.

Gửi yêu cầu security screen