La mia azienda inizierà a fornire servizi di test di penetrazione abbastanza presto, infatti, ci mancano solo gli aspetti legali.
Mi chiedo se esista un modello che indichi le cose più comuni per uscire da prigione? O dovremmo scrivere un documento personalizzato per ogni cliente? Se sì, cosa dovrebbe includere?
SANS ha un bel white paper sull'argomento qui
GIAC ha anche un white paper orientato alla gestione del pen-test che copre alcuni di questi qui
Tengo a mente che potrebbe essere necessario disporre di accordi legali generali e specifici in base all'ambito e alle offerte fornite. Il tuo focus dovrebbe essere sulle leggi relative al coinvolgimento, sui rischi associati a te e al cliente che potrebbero emergere durante un fidanzamento e avere il diritto personale di approvare il tuo lavoro.
Poiché esiste un rischio sia civile che criminale associato all'esecuzione di un test di penetrazione, questo sembra una delle aree in cui non dovresti andare a buon mercato e dovresti in effetti ottenere un parere legale da un avvocato. Se si attaccano sistemi che non rientrano nel campo di applicazione, è possibile che tecnicamente violi la CAFA o altre leggi applicabili localmente e, se (inavvertitamente) elimini i dati, causi un tempo di inattività o un impatto negativo sulle operazioni aziendali, potrebbe finire ottenere causa per danni. C'è anche il rischio di errori e amp; omissioni, in cui il cliente potrebbe potenzialmente citarti in giudizio quando vengono violati ed è determinato che la vulnerabilità utilizzata era quella in cui non li hai avvertiti.
(Non sono un avvocato, questo non è un consiglio legale, e dovresti assolutamente coinvolgere un avvocato qualificato.)
Leggi altre domande sui tag legal penetration-test