Domanda Accordo Pentester/Cliente

[Maxwell2609]

Mettiamo caso che una azienda debba compilare un accordo scritto / contratto tra la stessa e il cliente che ha richiesto un penetration test su alcune infrastrutture che autorizzi l'operatore ad accedere ai sistemi riservati e ai dati sensibili del cliente. Cosa dovrebbe contenere (o contiene in genere) un documento di questo tipo?

 

[0xbro]

Diciamo che, teoricamente, dovrebbero esserci due documenti importanti e distinti tra loro: il "Rules of Engagement" (che non ha un vero valore contrattuale) e il contratto finale (vincolante per la prestazione lavorativa). Spesso i due documenti vengono uniti, non è un problema.

Diciamo che gli elementi fondamentali da trattare in questo documento sono:

• Tipologia dei test (VA/PT/Adversary emulation, etc.) e approccio (black box, grey box, white box)
• Scope (importantissimo!) + ulteriori informazioni tecniche
• Durata dei test in termini di giorni o ore
• Orario dei test (full time? 9-18?)
• Contatti d'emergenza (sia lato tester, sia lato cliente): email, possibilmente anche telefono
• Persone coinvolte nei test
• Prezzo

Così su due piedi mi sembra che le informazioni fondamentali siano queste, ti consiglio però di dare una lettura anche a questo articolo e, soprattutto, provare a cercare online per RoE già esistetenti da cui prendere spunto