Cliente Oculta Información sobre Alcance

SI sabes los servidores estan de otro empresa entonces escribirlos para permiso....si no entonces es illegal.

    Tiene razon Quismon ,lo primero seria que hablaras con la empresa para saber si son servidores compartidos o dedicados ,es decir,si solo la empresa los utilizada o otras empresas tambien aparte de tu cliente;si solo tu cliente los utiliza entonces es posible que el proveedor te de permiso si asi lo demanda tu cliente sino no creo porque podrias vulnerar el derecho a la privacidad de otras empresas y seria algo ilegal 

    saludos 

En el contrato o carta de aceptacion de servicio indica en donde se encuentran los servidores si es dentro de las intalaciones fisicas de la empresa que te contrato ; asegurarte que los servidores son de la empresa que te contrato independientemente de quien los administre , una de las cosas mas importanes es definir los alcances del pentest , las metodologias a usar , las herramientas a usar libres o comerciales , el direccionamiento IP que usaras para realizar las pruebas de penetracion , el manejo de los hallazgos , los entregables ,la firma del NDA , si se requiere que este personal del cliente , el manejo de las alertas tempranas , los horarios a realizar la actividad ,las credenciales de la persona que lo efectuara, entre otros

Por lo regular este tipo de contratos son firmados por personal de TI de la empresa que te contrata , representante legal y la empresa que realiza los servicios. el contrato debe de incluir las clausulas correspondientes para evitar caer en algun vacio legal , de acuerdo a las leyes aceptadas de tu pais y con enfoque de Due Care y Due Diligence.

Saludos cordiales