Esto está incluido en Ámbito de prueba y todas las partes en una prueba de penetración deben anticipar el descubrimiento de datos protegidos y credenciales privadas en el curso de la prueba.
SU expectativa definida como cliente debe ser la garantía explícita y razonable de que cualquier información recopilada y credenciales de redes sociales se utilizarán dentro de los límites del alcance y permanecerán privadas y bajo la custodia de la penetración evaluadores para la duración y un período de tiempo establecido después de la finalización de la prueba y únicamente con el propósito de documentar los resultados.
Si SU entorno particular le permite a los empleados acceder a materiales corporativos a través de sus credenciales personales de redes sociales, ENTONCES SÍ debe incluirlos dentro del alcance del compromiso. ¡Los pentesters no deberían hacer nada ilegal contra el proveedor de redes sociales y espero que ya lo sepan!
Una cláusula explícita de destrucción efectiva de sus datos recopilados, credenciales privadas y todos los "trofeos" y cualquier otro de sus materiales internos que los avance o capturen se destruirá a más tardar en una fecha acordada y con un conocido y el método de borrado de datos aceptado por la industria de su aprobación.
No hay ningún acuerdo contractual que aísle a su examinador de la pluma de actividades ilegales, si se comportan de manera tonta e ilegal con las credenciales de redes sociales capturadas, estarán sujetos a las consecuencias legales aplicables, tanto civiles como penales. El cliente (USTED) no tendrá voz en su procesamiento ... si algo así ocurriera alguna vez.