Modello di accordo sui termini del test di penetrazione [chiuso]

3

La mia azienda inizierà a fornire servizi di test di penetrazione abbastanza presto, infatti, ci mancano solo gli aspetti legali.

Mi chiedo se esista un modello che indichi le cose più comuni per uscire da prigione? O dovremmo scrivere un documento personalizzato per ogni cliente? Se sì, cosa dovrebbe includere?

    
posta yzT 24.07.2014 - 20:33
fonte

2 risposte

1

SANS ha un bel white paper sull'argomento qui

GIAC ha anche un white paper orientato alla gestione del pen-test che copre alcuni di questi qui

Tengo a mente che potrebbe essere necessario disporre di accordi legali generali e specifici in base all'ambito e alle offerte fornite. Il tuo focus dovrebbe essere sulle leggi relative al coinvolgimento, sui rischi associati a te e al cliente che potrebbero emergere durante un fidanzamento e avere il diritto personale di approvare il tuo lavoro.

    
risposta data 24.07.2014 - 22:24
fonte
1

Poiché esiste un rischio sia civile che criminale associato all'esecuzione di un test di penetrazione, questo sembra una delle aree in cui non dovresti andare a buon mercato e dovresti in effetti ottenere un parere legale da un avvocato. Se si attaccano sistemi che non rientrano nel campo di applicazione, è possibile che tecnicamente violi la CAFA o altre leggi applicabili localmente e, se (inavvertitamente) elimini i dati, causi un tempo di inattività o un impatto negativo sulle operazioni aziendali, potrebbe finire ottenere causa per danni. C'è anche il rischio di errori e amp; omissioni, in cui il cliente potrebbe potenzialmente citarti in giudizio quando vengono violati ed è determinato che la vulnerabilità utilizzata era quella in cui non li hai avvertiti.

(Non sono un avvocato, questo non è un consiglio legale, e dovresti assolutamente coinvolgere un avvocato qualificato.)

    
risposta data 25.07.2014 - 03:32
fonte

Leggi altre domande sui tag