AUP

Ogni attività di pentest, red team o correlate richiede Lettera di Autorizzazione (Authorization to Test) firmata da rappresentante autorizzato del cliente, specificando target, finestra e scope.

È STRETTAMENTE PROIBITO richiedere a intrus.io qualsiasi attacco, test, scansione o azione offensiva contro asset NON di proprietà o controllo del cliente contraente. Tentativi di frode nell'autorizzazione sono segnalati alle autorità competenti (Legge 12.737/2012 — Carolina Dieckmann in Brasile; equivalenti in altre giurisdizioni).

I report tecnici consegnati NON possono essere utilizzati per: (a) attaccare terzi non autorizzati; (b) rivendere o redistribuire commercialmente; (c) usare come prova in contenzioso senza preventivo consenso di intrus.io.

È proibito usare il rapporto contrattuale con intrus.io per finalità illecite, incluso riciclaggio, elusione di sanzioni, spionaggio industriale non autorizzato o intimidazione di giornalisti/dissidenti.

Non eseguiamo test che possano causare danni fisici, lesioni o morte (es.: attacchi diretti a sistemi sanitari senza ambiente specchio, dispositivi medici in uso clinico, sistemi di controllo del traffico aereo in produzione).

Non eseguiamo ingegneria sociale che coinvolga ricatto, estorsione, impersonificazione di pubblica autorità o atti illegali nelle giurisdizioni applicabili.

Per ambienti OT/SCADA critici, richiediamo ambiente di omologazione o validazione preventiva da parte dell'ingegneria di operazione del cliente.

Vulnerabilità inedite scoperte in prodotti/sistemi di terzi durante engagement sono gestite secondo Coordinated Vulnerability Disclosure (CVD): notifica al cliente, poi al vendor affetto con finestra ragionevole di remediation (90 giorni standard), poi divulgazione responsabile.

Non commercializziamo exploit né li passiamo a vulnerability broker.

Dopo la chiusura dell'engagement, informazioni sensibili del cliente sono conservate al massimo 90 giorni e poi cancellate. Il certificato di distruzione è rilasciato su richiesta.

Accordi di riservatezza (NDA) rimangono in vigore per il periodo contrattato, anche dopo la chiusura.

Sospette violazioni di questa AUP da parte di personale intrus.io o clienti possono essere segnalate riservatamente a contato@intrusioncyber.com.