Baseado na norma internacional ISO 15408, esse trabalho envolve o levantamento e a definição dos objetivos de segurança de uma determinada aplicação, a verificação dos requisitos e controles de segurança usados para atender os objetivos levantados e a análise/verificação da implementação ou não dos requisitos de segurança definidos.

Nesta etapa, há ainda a inspeção de código automatizada, com ferramentas próprias, e, também de forma visual direta, nos pontos críticos para a segurança da aplicação, bem como um teste de resistência aos ataques mais comuns.

Após o levantamento das eventuais vulnerabilidades, é emitido um Relatório de Avaliação da Aplicação, contendo a relação dos problemas indicados, devidamente categorizados dentro de uma escala de impacto, as recomendações para correção ou para novas implementações de segurança no aplicativo, um Plano de Ação para orientar a execução daquelas recomendações pela equipe do cliente e, finalmente, a conclusão final recomendando ou não o uso do sistema.

Opcionalmente, o cliente pode contratar uma revisão pré-agendada do resultado do trabalho de execução do Plano de Ação, após o término das implementações, para garantia do investimento realizado.