InitIA-Sec LogoInitIA-Sec
Solicitar Auditoría →
← Volver a Documentación
Marco Jurídico

FAQ Legal

Resolución de las dudas contractuales, responsabilidades y normativas que rigen las auditorías de hacking ético.

¿Es legal hacer un pentesting o escaneo sobre mi propia web?

Sí, es plenamente legal siempre que cuentes con la propiedad legítima de los servidores o una autorización explícita y escrita del propietario legal. El Código Penal español en su Artículo 197 bis condena el acceso no autorizado, por lo que la firma de las Rules of Engagement y la validación técnica del dominio que realizamos en el formulario son el mecanismo legal para dar cobertura jurídica a las pruebas de ciberseguridad.

¿Qué son exactamente las Rules of Engagement (RoE)?

Son las Reglas de Compromiso. Se trata de un contrato bilateral que define los límites de la auditoría: qué IPs o subdominios específicos se pueden atacar, qué técnicas están autorizadas, qué días y en qué franja horaria se realizarán las pruebas, y quiénes son los contactos técnicos de emergencia a los que notificar en caso de incidencia.

¿Cómo garantizáis la confidencialidad de los fallos encontrados?

Nuestra relación jurídica con el cliente incluye la firma obligatoria de un NDA (Non-Disclosure Agreement) de forma digital e irrevocable. Todos los fallos, diagramas de arquitectura, capturas de pantalla de evidencias y configuraciones analizadas son clasificados como información de alta confidencialidad y bajo ningún concepto se cederán a terceros ni se publicarán.

¿Qué pasa si el pipeline expone datos de mis clientes reales (PII)?

Aplicamos una política estricta de "No Exfiltración". Si en el transcurso de la auditoría (por ejemplo, explotando una inyección SQL o un IDOR) se accede a datos personales de clientes, el pipeline y el auditor interrumpen la descarga de información. Solo se documenta la estructura de la base de datos o el primer registro ofuscado como evidencia técnica del fallo. Nunca almacenamos copias ni volcados de bases de datos de clientes.

¿Cuánto tiempo conserváis los datos de la auditoría?

Cumpliendo rigurosamente con el RGPD, aplicamos una política de borrado seguro. Toda la información aportada (credenciales, tokens) y recopilada (evidencias, borradores del informe) se destruye de forma irreversible e íntegra de nuestros sistemas en un plazo máximo de 30 días naturales tras la entrega del informe final.

¿Tiene validez legal vuestro informe frente a regulaciones como NIS2 o DORA?

Sí. El informe técnico emitido por InitIA-Sec está estructurado en base al estándar CVSS v3.1 y mapeado contra MITRE ATT&CK. Provee evidencia técnica formal de diligencia debida (due diligence), algo imprescindible ante una inspección de la AEPD (por RGPD) o auditorías de resiliencia digital bajo las directivas comunitarias NIS2 o el reglamento DORA.

¿Qué es la cláusula "Hold Harmless" o deslinde de responsabilidad?

Es una cláusula común en seguridad defensiva donde el cliente exime de responsabilidad al auditor por los daños involuntarios o degradaciones temporales de rendimiento que puedan causar las herramientas de escaneo dinámico autorizadas en el alcance, siempre que el auditor haya operado dentro de los límites y reglas acordados.