IT & TechnologyDoporučovaná advokátní kancelář pro IT právo

Smlouvy pro penetrační testování.

Penetrační test bez správně nastavených práv a povinností je obrovské právní riziko. Pro obě strany.

Penetrační testování zahrnuje úmyslné útoky na systémy klienta, což bez správné smluvní dokumentace může být trestně postižitelné. Zpracujeme smlouvu o penetračním testování, NDA, rozsah testování (scope of work), odpovědnostní doložky a postup pro hlášení nalezených zranitelností. Ochráníme objednatele i dodavatele.

C on á so d l i š u j e

Pentest smlouva, která chrání vaše systémy i testery.

Správně napsaná pentest smlouva je zárukou, že testování proběhne legálně a výsledky zůstanou důvěrné.

Specifická znalost smluvní praxe

Pentest smlouvy mají specifika, která běžné IT smlouvy neřeší: autorizace útoků, rozsah testování, odpovědnost za nalezené zranitelnosti a povinnosti mlčenlivosti.

Ochrana obou stran

Zastupujeme jak objednatele, tak dodavatele služeb penetračního testování. Výsledná smlouva chrání obě strany před právními riziky.

Vulnerability disclosure policy

Nastavíme postup pro zodpovědné hlášení zranitelností (responsible disclosure) v souladu s mezinárodní praxí.

Soulad s NIS2 a kybernetickým zákonem

Pentest dokumentaci integrujeme do celkového NIS2 compliance frameworku organizace.

D e t a i l n ě

Čtyři dokumenty. Kompletní právní základ pro bezpečné testování.

Smlouva o penetračním testování

Hlavní smlouva o dílo s vymezením rozsahu testování, oprávnění, termínů, výstupů a odpovědnosti.

NDA a mlčenlivost

Dohoda o mlčenlivosti pokrývající testující tým, subdodavatele a nakládání s výsledky testování.

Rules of Engagement

Operační rámec pro testování: co je povoleno, jaká jsou omezení, kdo schvaluje eskalaci a jak probíhá komunikace.

Vulnerability disclosure postup

Postup pro hlášení nalezených zranitelností, lhůty pro reakci a koordinaci oprav před zveřejněním.

V á š   p a r t n e r
PORTRAIT · J. MENČÍK
Jaroslav Menčík

Jaroslav Menčík

Partner
Vedoucí týmu pro IT & Technology

Jaroslav Menčík je partnerem advokátní kanceláře Ambit a vede tým pro IT a Technologie. Za více než 15 let praxe uzavřel přes 200 transakcí v oblasti softwarového práva, kybernetické bezpečnosti, regulace AI a technologického transferu. Klientům z řad startupů, scale-upů i globálních korporací poskytuje odborné poradenství ukotvené v realitě podnikání. Vystudoval právo na Masarykově univerzitě v Brně a Karlově univerzitě v Praze (JUDr., Ph.D.) a jako Hauser Global Scholar získal titul LL.M. na NYU School of Law. Ekonomické vzdělání (Ing.) mu umožňuje integrovat finanční a strategický pohled do každého mandátu.

15+
let zkušeností v IT právu
200+
uzavřených transakcí
Č a s t o   k l a d e n é   d o t a z y

Otázky, které klienti často pokládají.

Nenašli jste tu svou? Napište přímo vedoucímu partnerovi — odpověď obvykle do jednoho pracovního dne.

Zeptejte se přímo Jaroslava
Proč je smlouva pro pentest tak důležitá?
Penetrační testování zahrnuje úmyslné průniky do systémů, které by bez smluvní autorizace mohly být trestně postižitelné (neoprávněný přístup k počítačovému systému). Správná smlouva autorizuje testování a chrání testery i organizaci.
Co musí smlouva pro pentest povinně obsahovat?
Smlouva musí jasně vymezit rozsah testování (jaké systémy, jaké metody), autorizaci k přístupu, zákaz testování mimo schválený scope, povinnosti mlčenlivosti, postup hlášení nalezených zranitelností a omezení odpovědnosti dodavatele.
Jak nastavit responsible disclosure po pentestu?
Responsible disclosure policy stanovuje: komu a jak se hlásí nalezené zranitelnosti, v jakých lhůtách musí organizace zranitelnosti opravit a kdy (pokud vůbec) mohou být zveřejněny. Správně nastavená politika minimalizuje reputační riziko.
Jaká je odpovědnost dodavatele pentest služeb?
Dodavatel odpovídá za škodu způsobenou překročením schváleného rozsahu testování nebo porušením mlčenlivosti. Správně nastavené smluvní omezení odpovědnosti (liability cap) chrání dodavatele před nepřiměřenými nároky.
Mohu pentest výsledky použít jako důkaz pro regulátora?
Ano, v rámci NIS2 a DORA compliance mohou pentest výsledky sloužit jako důkaz o provedení bezpečnostních testů. Doporučujeme, aby smlouva a výstupy z testování byly zpracovány způsobem vhodným pro regulatorní reportování.