Previo a un pentesting, debe haber un contrato legal que especifique el alcance, la duración y el tipo de pruebas a realizar. Sin este acuerdo, la auditoría sería ilegal. Definir el alcance es crucial y, aunque es fundamental, a menudo se pasa por alto. No preparar adecuadamente puede causar problemas legales, clientes insatisfechos y desviación del alcance. El alcance debe detallar qué se va a probar y cómo se realizará, abordado en las "Reglas de participación".

Un componente clave es cómo los evaluadores deben emplear su tiempo. Por ejemplo, probar 100 direcciones IP por $100,000 significa $1,000 por IP, una estructura efectiva solo a ese volumen. Mantener costos lineales durante el proceso de prueba puede ser problemático. Si se pide probar solo una aplicación crítica con la misma estructura de precios, el trabajo aumenta significativamente. Los costos deben variar según el trabajo realizado para evitar que la empresa termine pagando por sus servicios.

El proceso no es siempre claro. Los clientes pueden no saber exactamente qué necesitan probar o cómo comunicarlo. En la fase previa, el evaluador debe guiar al cliente a través del proceso, comprendiendo la diferencia entre una prueba enfocada a una sola aplicación y una que abarca muchas direcciones IP para encontrar una forma de entrada.