Cliente Oculta Información sobre Alcance
Hola, Un cliente me contrato para realizar un pentesting de su sistema de servidores pero me oculto que estos servidores eran administrados por una empresa externa.
Cómo proceder cuando se elabora el documento a firmar?, Este contrato no lo firmé para evitar tener problemas con esta empresa externa. Información que obtuve al entrevistar a personas del departamento de computo.
Debes ser parte de la comunidad para poder comentar.
más de 7 años
Tiene razon Quismon ,lo primero seria que hablaras con la empresa para saber si son servidores compartidos o dedicados ,es decir,si solo la empresa los utilizada o otras empresas tambien aparte de tu cliente;si solo tu cliente los utiliza entonces es posible que el proveedor te de permiso si asi lo demanda tu cliente sino no creo porque podrias vulnerar el derecho a la privacidad de otras empresas y seria algo ilegal
saludos
más de 7 años
En el contrato o carta de aceptacion de servicio indica en donde se encuentran los servidores si es dentro de las intalaciones fisicas de la empresa que te contrato ; asegurarte que los servidores son de la empresa que te contrato independientemente de quien los administre , una de las cosas mas importanes es definir los alcances del pentest , las metodologias a usar , las herramientas a usar libres o comerciales , el direccionamiento IP que usaras para realizar las pruebas de penetracion , el manejo de los hallazgos , los entregables ,la firma del NDA , si se requiere que este personal del cliente , el manejo de las alertas tempranas , los horarios a realizar la actividad ,las credenciales de la persona que lo efectuara, entre otros
Por lo regular este tipo de contratos son firmados por personal de TI de la empresa que te contrata , representante legal y la empresa que realiza los servicios. el contrato debe de incluir las clausulas correspondientes para evitar caer en algun vacio legal , de acuerdo a las leyes aceptadas de tu pais y con enfoque de Due Care y Due Diligence.
Saludos cordiales
más de 7 años
SI sabes los servidores estan de otro empresa entonces escribirlos para permiso....si no entonces es illegal.