📜  渗透测试-法律问题

📅  最后修改于: 2020-12-06 11:37:59             🧑  作者: Mango


在允许某人测试敏感数据之前,公司通常会采取有关数据可用性,机密性和完整性的措施。为使该协议生效,法律合规性是组织的一项必要活动。

下面介绍了用于实施渗透测试的上下文中建立和维护安全性和授权系统时必须遵守的最重要的法律法规。

有哪些法律问题?

以下是测试人员与其客户之间可能出现的一些问题-

  • 该测试仪对于他的客户来说是未知的-因此,应该从什么角度对他进行敏感数据的访问

  • 谁来保证丢失数据的安全性?

  • 客户可能会为测试人员的数据丢失或机密性负责

渗透测试可能会影响系统性能,并可能引发机密性和完整性问题;因此,即使在内部渗透测试中,这也是非常重要的,内部渗透测试是由内部人员进行以书面形式获得许可的。在开始测试之前,测试人员应与公司/组织/个人达成书面协议,以阐明有关数据安全性,披露等方面的所有要点。

在进行任何测试工作之前,双方应草拟意向书并妥善签署。应该清楚地概述工作的范围,以及您在进行漏洞测试时可能会做的事情,也可能不会做。

对于测试人员,重要的是要知道谁拥有被要求从事的业务或系统,以及测试系统与其目标之间可能受到笔测试潜在影响的基础结构。这个想法是要确保;

  • 测试人员具有明确定义的参数的书面许可。

  • 该公司拥有其笔测试仪的详细信息,并保证他不会泄漏任何机密数据。

法律协议对双方都有利。请记住,法规因国家/地区而异,因此请紧跟各自国家/地区的法律。仅在考虑相应法律后才能签署协议。