Diciamo che, teoricamente, dovrebbero esserci due documenti importanti e distinti tra loro: il "Rules of Engagement" (che non ha un vero valore contrattuale) e il contratto finale (vincolante per la prestazione lavorativa). Spesso i due documenti vengono uniti, non è un problema.
Diciamo che gli elementi fondamentali da trattare in questo documento sono:
Diciamo che gli elementi fondamentali da trattare in questo documento sono:
- Tipologia dei test (VA/PT/Adversary emulation, etc.) e approccio (black box, grey box, white box)
- Scope (importantissimo!) + ulteriori informazioni tecniche
- Durata dei test in termini di giorni o ore
- Orario dei test (full time? 9-18?)
- Contatti d'emergenza (sia lato tester, sia lato cliente): email, possibilmente anche telefono
- Persone coinvolte nei test
- Prezzo