Verständlicherweise ist der Preis eines der wesentlichsten Entscheidungskriterien. Dabei sollte man sich aber nicht alleine von den angegebenen Tagessätzen (ver-)leiten lassen. Die niedrigsten Tagessätze teilweise nicht einmal von Einzelunternehmern mit geringem organisatorischen Overhead angeboten sondern von namhaften Großunternehmen, deren Kerngeschäft in anderen Bereichen der IT liegen, so dass zur Vervollständigung des Angebots Penetrationstests im besten Fall nur kostendeckend bepreist werden können.
Andere Anbieter versuchen Kostenoptimierung durch den Einsatz unerfahrener Mitarbeiter oder durch einen Automatisierung zu erreichen. Solange dies gegenüber dem Auftraggeber transparent dargestellt wird, spricht nichts dagegen entsprechende Angebote fallweise gezielt zu nutzen, um z.B. eine große Zahl von exponierten Webanwendungen möglichst häufig, wenn auch nur oberflächlich auf offensichtliche Schwachstellen zu prüfen. Bei höherwertigen Angeboten sind in der Regel zusätzliche Leistungen (Ausführlich Beratung in der Projektvorbereitung Auftragsanbahnung, Beantwortung von Fragen auch nach Projektabschluss, Kommunikation mit Dritte (z.B. Softwarelieferanten), Kommunikationsfähigkeit und Qualifikation der Tester, Erreichbarkeit, Nachhaltigkeit etc. sollten ebenfalls in Betracht gezogen werden.