Договор на проверку безопасности

1. Стороны

Исполнитель: ИП / ТОО «1CYBER», в лице ________________________________________, действующего на основании ________________________________________,

Заказчик: ________________________________________, в лице ________________________________________, действующего на основании ________________________________________,

совместно именуемые «Стороны», заключили настоящий Договор о нижеследующем:

2. Предмет договора

2.1. Заказчик поручает, а Исполнитель принимает на себя обязательства по проведению тестирования на проникновение (пентест) и анализа защищённости информационных ресурсов Заказчика с целью выявления уязвимостей в системе безопасности.

2.2. Заказчик подтверждает, что является законным владельцем (или уполномоченным представителем владельца) указанных в п. 4 информационных ресурсов и имеет полное право разрешить проведение тестирования.

2.3. Настоящий договор является письменным разрешением (авторизацией) Заказчика на проведение тестирования безопасности в рамках согласованного объёма работ.

3. Конфиденциальность (NDA)

3.1. Стороны обязуются не разглашать конфиденциальную информацию, полученную в связи с исполнением настоящего Договора, включая, но не ограничиваясь:

• — Обнаруженные уязвимости и результаты тестирования
• — Внутренние данные, документы и системы Заказчика
• — Коммерческую тайну и ноу-хау обеих Сторон
• — Условия и содержание настоящего Договора
• — Персональные данные сотрудников и клиентов Заказчика

3.2. Отчёт о результатах тестирования передаётся исключительно Заказчику или уполномоченным им лицам.

3.3. Обязательства по конфиденциальности действуют бессрочно после завершения работ по настоящему Договору.

3.4. За нарушение обязательств по конфиденциальности виновная Сторона несёт ответственность в соответствии с законодательством Объединённых Арабских Эмиратов.

4. Объекты тестирования (Scope)

4.1. Тестированию подлежат следующие ресурсы Заказчика:

4.2. Тестирование за пределами указанных объектов строго запрещено.

5. Авторизация на тестирование (Authorization to Test)

5.1. Настоящий раздел является официальным письменным разрешением Заказчика на проведение тестирования безопасности указанных в п. 4 ресурсов.

5.2. Заказчик подтверждает, что обладает полными полномочиями для выдачи такого разрешения.

5.3. Заказчик обязуется не привлекать Исполнителя к ответственности (safe harbor) за действия, совершённые в рамках согласованного объёма работ и в период действия настоящего Договора.

5.4. Период тестирования: с «____» ______________ 20___ г. по «____» ______________ 20___ г.

6. Разрешённые действия

Исполнителю разрешается проводить следующие виды работ:

• — Сбор информации об инфраструктуре (разведка)
• — Автоматическое сканирование на известные уязвимости
• — Ручное тестирование на проникновение
• — Анализ исходного кода и конфигураций (если предоставлен доступ)
• — Анализ мобильных приложений (APK/IPA): декомпиляция, анализ трафика, проверка API
• — Проверка механизмов аутентификации и авторизации
• — Тестирование API-эндпоинтов
• — Проверка конфигурации серверов и сервисов

7. Запрещённые действия

Исполнителю запрещается:

• — Проведение атак типа «отказ в обслуживании» (DDoS/DoS)
• — Намеренное нарушение работоспособности сервисов Заказчика
• — Удаление или модификация данных Заказчика (кроме тестовых)
• — Распространение найденных уязвимостей третьим лицам
• — Использование найденных уязвимостей в корыстных целях
• — Тестирование ресурсов, не указанных в п. 4 настоящего Договора
• — Социальная инженерия в отношении сотрудников Заказчика (если не согласовано отдельно)

8. Обязанности сторон

Исполнитель обязуется:

• — Проводить тестирование исключительно в согласованных рамках
• — Минимизировать влияние на работоспособность систем Заказчика
• — Предоставить подробный отчёт с proof-of-concept (PoC) для каждой уязвимости
• — Соблюдать конфиденциальность всей полученной информации
• — Немедленно уведомлять Заказчика об обнаружении критических уязвимостей

Заказчик обязуется:

• — Предоставить необходимый доступ и информацию для проведения тестирования
• — Назначить контактное лицо для оперативной связи
• — В течение 14 дней проверить предоставленные PoC и подписать акт приёма-передачи
• — Оплатить услуги Исполнителя в течение 30 дней после подписания акта
• — Не привлекать Исполнителя к ответственности за действия в рамках согласованного объёма

9. Стоимость и порядок оплаты

9.1. Стоимость работ определяется по одному из следующих тарифов:

• — ПЕНТЕСТ (разовая работа): от $20,000
• — ПАРТНЁР ПО БЕЗОПАСНОСТИ (12-месячная подписка): от $10,000/месяц

9.2. Итоговая стоимость зависит от объёма работ и фиксируется отдельным соглашением Сторон.

9.3. Оплата в USD или эквивалент в AED/KZT/RUB по курсу на день выставления счёта.

9.4. Срок оплаты: 30 календарных дней с момента подписания акта приёма-передачи.

9.5. Иной порядок оплаты (при наличии): ________________________________________.

10. Отчётность и приёмка

10.1. По завершении тестирования Исполнитель предоставляет Заказчику отчёт, содержащий:

• — Описание каждой обнаруженной уязвимости
• — Уровень критичности по CVSS 3.1
• — Работающий proof-of-concept (PoC) для каждой уязвимости
• — Рекомендации по устранению

10.2. Заказчик в течение 14 дней проверяет PoC и подписывает акт приёма-передачи.

10.3. При наличии разногласий Стороны проводят совместную верификацию.

11. Ответственность

11.1. Исполнитель несёт ответственность за ущерб, причинённый умышленно или вследствие грубой неосторожности при выходе за рамки согласованного объёма работ.

11.2. Заказчик освобождает Исполнителя от ответственности за действия, совершённые в рамках настоящего Договора и согласованного объёма работ (safe harbor).

11.3. Стороны подтверждают, что тестирование проводится с целью повышения безопасности информационных систем Заказчика и не направлено на причинение вреда.

12. Заключительные положения

12.1. Настоящий Договор вступает в силу с момента подписания обеими Сторонами.

12.2. Все споры решаются путём переговоров, а при недостижении согласия — в суде по месту нахождения Исполнителя.

12.3. Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному для каждой Стороны.