Logo

Objetivos

Cualquier acuerdo comercial entre dos organizaciones debe formalizarse en un contrato legalmente vinculante. La empresa de pentesting o usted y el cliente deben acordar las condiciones del acuerdo, los procesos que se utilizarán y la definición de los entregables. El cronograma del proyecto debe ser acordado, al igual que los costos y el cronograma de pagos. Es difícil exagerar la importancia de los acuerdos de pentesting.

Crear un acuerdo de pentesting

Objetivos

En este laboratorio, creará su propio acuerdo de pentesting.

  • Complete un acuerdo de prueba de penetración simple.

Antecedentes / Escenario

Un acuerdo de pruebas de penetración es un contrato legalmente vinculante entre el cliente o cliente y el probador de penetración. El acuerdo define todos los términos y condiciones necesarios para el ejercicio de pruebas de penetración. El acuerdo incluirá elementos que sean mutuamente acordados por ambas partes. Puede contener cosas, como la fecha de inicio de las pruebas de penetración, el alcance del trabajo, el acuerdo de nivel de servicio, la posible fecha de finalización de las pruebas de penetración, etc. También se incluirán en el contrato otros términos y condiciones, así como detalles de precios.

Imagina que te contrata una empresa para realizar pentesting. Deberá redactar un acuerdo de pentesting entre su empresa y el cliente. En una situación del mundo real, es probable que consulte con un abogado especializado en este tipo de contratos porque es muy importante entenderlos y saber qué información contienen.

Instrucciones

Parte 1: Completar un acuerdo de pentesting simple

Paso 1: Investiga acuerdos y contratos de pentesting.

  1. Usando su motor de búsqueda favorito, realice una búsqueda de contratos de prueba de penetración, declaraciones de trabajo y acuerdos.
  2. Encuentre varios ejemplos de acuerdos de pentesting y revise la información contenida en cada sección.

Paso 2: Desarrollar el acuerdo de pentesting.

Con la información que recopiló de su investigación en el paso 1, cree su propio acuerdo de pruebas de penetración para su empresa. Como mínimo, el acuerdo debe incluir las secciones que se enumeran a continuación.

a. Partes del acuerdo

(Destaque los datos personales y la información de las partes involucradas).

Este acuerdo es celebrado entre:

Empresa de Pentesting: [Nombre de la Empresa de Pentesting], con sede en [Dirección de la Empresa de Pentesting].
Cliente: [Nombre de la Empresa Cliente], con sede en [Dirección de la Empresa Cliente].

Ambas partes acuerdan los términos y condiciones establecidos en este acuerdo.

b. Alcance del trabajo

(Definir las obligaciones y responsabilidades de cada parte).
El probador de penetración se compromete a:

El probador de penetración se compromete a:

  • Realizar pruebas de penetración en los sistemas, redes, aplicaciones y activos digitales acordados, de acuerdo con los parámetros establecidos en este acuerdo.
  • Proporcionar un informe detallado de todas las vulnerabilidades encontradas, junto con recomendaciones para mitigarlas.
  • Realizar las pruebas de manera ética y dentro de los límites legales, sin interrumpir las operaciones del cliente más allá de lo que se haya acordado previamente.

El cliente se compromete a:

  • Proporcionar acceso necesario a los sistemas y activos que estarán bajo prueba.
  • Informar a su equipo interno sobre la realización de las pruebas para evitar confusiones o falsas alarmas.
  • Permitir el acceso a recursos durante el período de pruebas.

El alcance de trabajo incluirá (detallar lo que se probará, por ejemplo, aplicaciones web, red interna, pruebas de ingeniería social, etc.).

c. Plazo

(Establezca un cronograma específico para las pruebas de penetración).

El plazo del acuerdo es de [Número de semanas/meses] a partir de la firma del contrato. Las pruebas comenzarán el [Fecha de inicio] y finalizarán el [Fecha de finalización]. El informe final será entregado a más tardar el [Fecha límite de entrega del informe].

d. Tarifas, facturación y detalles

de pago (defina cómo y cuándo se realizan los pagos y aborde cómo se obtienen los materiales y equipos).

  • El costo total de las pruebas será de [Monto en dólares o moneda acordada].
  • El pago se realizará en dos partes: el [50%] al inicio de las pruebas y el [50%] restante al finalizar y entregar el informe final.
  • Los gastos adicionales por equipos o herramientas requeridas serán discutidos y aprobados por ambas partes antes de ser incurridos.

e. Terminación del contrato

(Defina las circunstancias que llevarían a una terminación anticipada del contrato).

Este acuerdo podrá ser terminado por cualquiera de las partes si:

  • El cliente o el probador de penetración incumple gravemente los términos del acuerdo.
  • Ambas partes acuerdan mutuamente la terminación del contrato.
  • En caso de incumplimiento, la parte afectada dará aviso por escrito y ofrecerá un plazo razonable para remediar el incumplimiento antes de rescindir el contrato.

Si el contrato es terminado antes de la finalización de las pruebas, el cliente será responsable de los costos incurridos hasta el momento de la terminación.

Paso 3: Bono – Secciones Adicionales del Acuerdo

Además de las secciones que completó anteriormente, enumere y defina algunas otras cláusulas que generalmente se encuentran en un acuerdo de pruebas de penetración.

1. Confidencialidad y manejo de datos sensibles

Ambas partes acuerdan que cualquier información sensible obtenida durante el ejercicio de pruebas de penetración será tratada como confidencial. El probador de penetración se compromete a no divulgar dicha información a terceros sin el consentimiento por escrito del cliente.

2. Limitación de responsabilidad

El probador de penetración no será responsable de ningún daño indirecto, incidental o consecuente que resulte de la realización de las pruebas, siempre y cuando el probador haya seguido los procedimientos acordados y actuado con diligencia.

3. Fuerza mayor

Ninguna de las partes será responsable por demoras o fallos en la ejecución de sus obligaciones bajo este acuerdo si tales demoras o fallos son resultado de eventos fuera de su control, como desastres naturales, fallas en la infraestructura o actos de guerra.

4. Auditorías posteriores

El cliente podrá solicitar auditorías adicionales una vez que las vulnerabilidades hayan sido corregidas. Dichas auditorías serán facturadas por separado y se acordarán en un anexo al presente contrato.

5. Ley aplicable

Este acuerdo estará regido por las leyes del país o estado de [Jurisdicción aplicable].

Este acuerdo básico cubre las principales secciones que deberías incluir en un contrato de pentesting. Es recomendable consultar con un abogado especializado en ciberseguridad o tecnología para adaptar este tipo de contrato a las leyes locales y los requisitos específicos del proyecto. …

© 2025 All rights reservedBuilt with Flowershow Cloud

Built with LogoFlowershow Cloud