Mi compañía comenzará a proporcionar servicios de pruebas de penetración muy pronto, de hecho, nos estamos perdiendo los aspectos legales de la misma.
Me pregunto si hay alguna plantilla que indique las cosas más comunes para salir de la cárcel. ¿O deberíamos escribir un documento personalizado para cada cliente? Si es así, ¿qué debería incluir?
SANS tiene un bonito informe sobre el tema Tenga en cuenta que es posible que deba tener acuerdos legales generales y específicos, según el alcance y las ofertas que ofrezca. Su atención debe centrarse en las leyes relacionadas con la realización de un compromiso, los riesgos asociados tanto para usted como con el cliente que pueden surgir durante un compromiso, y tener el personal adecuado que apruebe su trabajo.
Debido a que existe un riesgo civil y penal asociado con la realización de una prueba de penetración, se siente como una de las áreas en las que no debería ir barato y, de hecho, debería obtener asesoramiento legal de un abogado. Si ataca sistemas que no están dentro del alcance, técnicamente podría estar violando la ley CFAA u otras leyes locales aplicables, y si (inadvertidamente) borra datos, el cliente tiene un tiempo de inactividad o afecta negativamente sus operaciones comerciales, podría terminar Ser demandado por daños y perjuicios. También existe el riesgo de errores y amp; omisiones, donde el cliente podría demandarlo cuando lo piratean y se determina que la vulnerabilidad utilizada fue una en la que no se les advirtió.
(No soy abogado, no es un consejo legal y definitivamente debe contratar un abogado calificado).
Lea otras preguntas en las etiquetas penetration-test legal