Test de pénétration - Questions juridiques

Avant d'autoriser quelqu'un à tester des données sensibles, les entreprises prennent normalement des mesures concernant la disponibilité, la confidentialité et l'intégrité des données. Pour que cet accord soit en place, la conformité légale est une activité nécessaire pour une organisation.

Les réglementations légales les plus importantes à respecter lors de la mise en place et du maintien des systèmes de sécurité et d'autorisation sont présentées ci-dessous dans le contexte de leur utilisation dans la mise en œuvre des tests d'intrusion.

Quels sont les problèmes juridiques?

Voici quelques-uns des problèmes qui peuvent survenir entre un testeur et son client -

  • Le testeur est inconnu de son client - donc, sur quelle base, il devrait avoir accès aux données sensibles

  • Qui prendra la garantie de la sécurité des données perdues?

  • Le client peut être responsable de la perte de données ou de la confidentialité du testeur

Les tests de pénétration peuvent affecter les performances du système et poser des problèmes de confidentialité et d'intégrité; par conséquent, cela est très important, même dans le cadre d'un test de pénétration interne, qui est effectué par un personnel interne pour obtenir une autorisation par écrit. Il doit y avoir un accord écrit entre un testeur et l'entreprise / organisation / individu pour clarifier tous les points concernant la sécurité des données, la divulgation, etc. avant de commencer les tests.

UNE statement of intentdoivent être rédigés et dûment signés par les deux parties avant tout travail d'essai. Il doit être clairement indiqué que la portée du travail et ce que vous pouvez et ne pouvez pas faire lors des tests de vulnérabilité.

Pour le testeur, il est important de savoir à qui appartient l'entreprise ou les systèmes sur lesquels il est demandé de travailler, ainsi que l'infrastructure entre les systèmes de test et leurs cibles qui peuvent être potentiellement affectées par les tests au stylo. L'idée est de s'assurer;

  • the tester a l'autorisation écrite, avec des paramètres clairement définis.

  • the company a les détails de son testeur de stylo et une assurance qu'il ne divulguerait aucune donnée confidentielle.

Un accord juridique est avantageux pour les deux parties. N'oubliez pas que les réglementations changent d'un pays à l'autre, alors tenez-vous au courant des lois de votre pays respectif. Ne signez un accord qu'après avoir pris en compte les lois respectives.