AUP

Toda actividad de pentest, red team o correlativos exige Carta de Autorización (Authorization to Test) firmada por representante autorizado del cliente, especificando objetivos, ventana y alcance.

Está TERMINANTEMENTE PROHIBIDO solicitar a intrus.io cualquier ataque, prueba, escaneo o acción ofensiva contra activos que NO sean propiedad o control del cliente contratante. Intentos de fraude en la autorización son reportados a las autoridades competentes (Ley 12.737/2012 — Carolina Dieckmann en Brasil; equivalentes en otras jurisdicciones).

Los informes técnicos entregados NO pueden ser usados para: (a) atacar a terceros no autorizados; (b) revender o redistribuir comercialmente; (c) usar como prueba en litigio sin previa anuencia de intrus.io.

Está prohibido usar la relación contractual con intrus.io para finalidades ilícitas, incluyendo lavado de activos, evasión de sanciones, espionaje industrial no autorizado o intimidación de periodistas/disidentes.

No realizamos pruebas que puedan causar daño físico, lesión corporal o muerte (ej.: ataques directos a sistemas de salud sin entorno espejo, equipos médicos en uso clínico, sistemas de tráfico aéreo en producción).

No realizamos ingeniería social que involucre chantaje, extorsión, suplantación de autoridad pública o acciones ilegales en las jurisdicciones aplicables.

Para entornos OT/SCADA críticos, exigimos entorno de homologación o validación previa por ingeniería de operación del cliente.

Vulnerabilidades inéditas descubiertas en productos/sistemas de terceros durante engagement se tratan conforme Coordinated Vulnerability Disclosure (CVD): notificación al cliente, luego al fabricante afectado con ventana razonable de corrección (90 días estándar), luego divulgación responsable.

No comercializamos exploits ni los pasamos a brokers de vulnerabilidad.

Tras cierre del engagement, información sensible del cliente es retenida por máximo 90 días y luego eliminada. Comprobante de destrucción se emite bajo solicitud.

Acuerdos de confidencialidad (NDA) permanecen en vigor por el plazo contratado, aún después del cierre.

Sospechas de violación de esta AUP por colaboradores intrus.io o clientes pueden ser reportadas confidencialmente a contato@intrusioncyber.com.