DeforaNetworks/pentext
3
0
Fork 0
Code Releases Activity

Fixed some Dutch snippets

Browse Source
This commit is contained in:
skyanth
2016-09-30 14:39:38 +02:00
parent 6d6ee4d415
commit e9c34e405c
7 changed files with 369 additions and 257 deletions
Download Patch File Download Diff File Expand all files Collapse all files

51
xml/source/snippets/offerte/nl/codeauditmethodology.xml
View File

@@ -1,39 +1,36 @@
<?xml version="1.0" encoding="UTF-8"?>
<section>
<title>Broncode Audit</title>
<p><company_short/> zal een broncode audit uitvoeren ter ondersteuning van pentesting.
Gedurende een code audit onderzoeken wij handmatig de broncode van een applicatie
<title>Broncode-audit</title>
<p><company_short/> zal een broncode-audit uitvoeren ter ondersteuning van pentesting.
Gedurende de code-audit onderzoeken wij handmatig de broncode van een applicatie
om te verzekeren dat er geen kwetsbaarheden in de beveiliging zitten en gebruiken wij
ons begrip van de code om het pentesten te leiden. Als er kwetsbaarheden gevonden worden
documenteren wij deze en komen met suggesties om deze op te lossen. Dit wordt gedaan
door goed-getrainde penetratie testers die zowel raw code kunnen herzien,
als het interpreteren van de bevindingen van de geautomatiseerde scans, wat het in context brengt.</p>
<p>Tijdens het code audit gedeelte van penetratie tests nemen wij de volgende criteria mee:</p>
documenteren wij deze en komen met suggesties om deze op te lossen. De audit wordt uitgevoerd
door goed getrainde penetratietesters die zowel raw code kunnen herzien
als de bevindingen van geautomatiseerde scans interpreteren en in context brengen.</p>
<p>Tijdens het code-audit-gedeelte van penetratietests nemen wij de volgende criteria mee:</p>
<ol>
<li>Risico Beoordeling en "Dreiging Modellering"<br/>
In deze stap analyseren wij de risico's van een bepaalde applicatie of systeem.
Dreiging Modellering is een specifieke, gestructureerde aanpak voor risico
analyse dat ons in staat stelt om beveiligingsrisico's te identificeren,
kwalificeren en te addresseren. Dit is de reden voor de vervlechting met
het proces van Code Herziening. Bijvoorbeeld: Gebruiksgegevens zijn heilig.
Wij focussen op versleutelde opslag, ontdekken of <client_short/> werknemers
een "backdoor" in hun data hebben en snijden gestolen toestellen af
<li>Risicobeoordeling en "Threat Modeling"<br/>
In deze stap analyseren wij de risico's van een bepaalde toepassing of een bepaald systeem.
"Threat modeling" is een specifieke, gestructureerde aanpak voor risico-analyse die wordt ingezet tijdens het codeherzieningsproces en die ons in staat stelt beveiligingsrisico's te identificeren, te
kwalificeren en te addresseren. Bijvoorbeeld: Gebruiksgegevens zijn heilig.
We controleren op versleutelde gegevensopslag, onderzoeken of <client_short/> werknemers
een "backdoor" in hun data hebben of ontkoppelen (indien van toepassing) gestolen toestellen
door deze op afstand te wissen en accounts in te trekken.</li>
<li>Doel en Context<br/>
Hier focussen wij op de risico's, voornamelijk in het snel en gemakkelijk
delen van interne documenten en routebeschrijvingen. Accountgegevens
zijn niet zo geheim als wij weten wie in een vergadering zit, maar
wat besproken wordt geheim is.</li>
Hier richten we ons vooral op de risico's, bijvoorbeeld wanneer (te) snel en gemakkelijk
interne documenten en agenda's worden gedeeld. Accountgegevens
zijn niet zo geheim als wij weten wie bij vergaderingen aanwezig is - zelfs als het besprokene wél geheim blijft.
</li>
<li>Complexiteit<br/>
De complexiteit van het systeem zit hem in de frameworks die de
webapplicatie ondersteunen. Wij zouden deze negeren en ons alleen richten
op de "custom" en backend code, waarvan wij weten dat het gebaseerd is
op .NET/ C#. We zouden ons ook focussen op implementatiefouten en bekende
fouten in de systemen. Bijvoorbeeld: We zouden bevestigen of u de laatste
versie van de software gebruikt, maar we zouden niet delven in het framework zelf.
Omdat wij aannemen dat de code is geschreven door een team zal dit waarschijnlijk duidelijk
geschreven code zijn. Als u meerdere full-release versies heeft, zullen er
ongetwijfeld meerdere code revisies en audits op deze code zijn.</li>
(web)applicatie ondersteunen. Wij richten ons voornamelijk
op de "custom" en back-end code, en dan in het bijzonder op implementatiefouten en bekende
fouten in de systemen. Bijvoorbeeld: We controleren of u de laatste
versie van de ondersteunende software gebruikt, maar duiken niet in het eigenlijke framework.
We nemen aan dat de code is geschreven door een team en dus waarschijnlijk duidelijk
geschreven is. Als u meerdere full-release versies heeft, zullen er
ongetwijfeld meerdere coderevisies en -audits zijn.</li>
</ol>
<p>Voor meer informatie verwijzen wij u naar de volgende link:
<a href="https://www.owasp.org/index.php/OWASP_Code_Review_V2_Table_of_Contents">https://www.owasp.org/index.php/OWASP_Code_Review_V2_Table_of_Contents</a></p>

10
xml/source/snippets/offerte/nl/conditions.xml
View File

@@ -3,15 +3,15 @@
<title>Algemene voorwaarden</title>
<!-- snippet --><p><company_short/> zal alleen de <company_svc_short/>
uitvoeren als het de toestemming heeft gekregen van <generate_permission_parties/>
zoals uiteengezet in de penetration test verklaring, bijgevoegd als <b>Annex 2</b>,
of verschafd als los document.</p>
zoals uiteengezet in de penetratietestvrijwaring, bijgevoegd als <b>Annex 2</b>
of verschaft als los document.</p>
<p><company_short/> voert deze opdracht uit op basis van de algemene voorwaarden,
die bijgevoegd zijn als Annex 1.
<company_short/> weigert alle algemene voorwaarden die gebruikt worden door
<company_short/> verwerpt alle algemene voorwaarden die gebruikt worden door
<client_short/>.</p>
<p>Om akkoord te gaan met dit aanbod, tekent u deze brief in tweevoud en retourneert
deze naar:</p>
<p>Om akkoord te gaan met dit aanbod dient u deze brief in tweevoud te tekenen en te
retourneren naar:</p>
<contact>
<name><company_legal_rep/></name>
<address><company_long/><br/>Overdiemerweg 28<br/>1111 PP Diemen</address>

488
xml/source/snippets/offerte/nl/generaltermsandconditions.xml
View File

@@ -1,197 +1,295 @@
<?xml version="1.0" encoding="UTF-8"?>
<annex>
<title>Annex 1<br/>General Terms and Conditions</title>
<p><b>What is this document?</b></p>
<p>These are the general terms and conditions (in Dutch: “<i>algemene voorwaarden</i>”)
of <company_long/> (<company_short/>). This version of the general terms and conditions
is dated 15 July 2014.</p>
<p>In the spirit of <company_short/>'s philosophy, <company_short/> wants these
general terms and conditions to be as understandable as possible. If you have any
questions, feel free to ask for clarification.</p>
<p><b>What is <company_long/>?</b></p>
<p><company_short/> is a private limited liability company under Dutch law located
in Amsterdam, The Netherlands. It is registered at the Dutch Chamber of Commerce
under no. 60628081.</p>
<p><b>To what do these terms and conditions apply?</b></p>
<p>These general terms and conditions apply to all agreements between <company_short/>
and the customer. <company_short/> rejects any terms and conditions used by the
customer. The parties can only deviate from these general terms and conditions
in writing. These general terms and conditions are also intended to benefit any
person employed or engaged by <company_short/> during the performance of an assignment.</p>
<p><b>How does <company_short/> agree on an assignment?</b></p>
<p><company_short/> wants both parties to have a clear picture of an assignment
before it starts. This means there only is an agreement between <company_short/>
and the customer after <company_short/> sends a written offer containing the key
terms of the agreement and the customer subsequently accepts the offer.
Communications other than the written offer do not form part of the agreement.
<company_short/> can rescind an offer until it is accepted by the customer.</p>
<p><b>What can the customer expect from <company_short/>?</b></p>
<p>It is important to understand the limits of <company_short/>'s services.
<company_short/> does not (and cannot) give guarantees that something is secure.
<company_short/> instead has an obligation to make reasonable efforts
(in Dutch: “<i>inspanningsverplichting</i>”) to perform the agreed services.</p>
<p><company_short/> will make reasonable efforts to perform the assignment in
accordance with the plan set out in the offer (if any). If <company_short/>
expects it will not fulfill the plan as documented, it will let the customer
know without delay. <company_short/> is not automatically deemed to be in default
if it doesn't meet the plan.</p>
<p><company_short/> will make reasonable efforts to avoid disruption of the
customer's operations and damage to its owned or operated systems, but it
cannot guarantee that this will be avoided. The customer agrees
to this. <company_short/> is not obliged to restore the systems or recover any
data deleted or amended in the course of the assignment.</p>
<p><b>What can <company_short/> expect from the customer?</b></p>
<p>The customer will provide <company_short/> with all means necessary to allow
<company_short/> to perform the agreed services. If <company_short/> needs explicit
permission from the customer to perform its services (for example, when doing
penetration tests) the customer gives this permission. The customer also warrants
that it has the legal authority to give this permission.</p>
<p><b>How do the parties handle confidential information?</b></p>
<p><company_short/> and the customer will not disclose to others confidential
information and personal data they receive from each other or gain access to in
the course of an assignment. <company_short/> has the right to disclose this
information and data to persons engaged by <company_short/>, but only if these
persons have a similar confidentiality obligation vis-á-vis <company_short/>.
Any person will only use the information and data it receives or gains access
to for the purposes following from the agreement. Both parties will take reasonable
measures to maintain the confidentiality of the information and data they received
or gained access to, and will ensure that persons engaged by them do the same.</p>
<p><b>What does <company_short/> do with vulnerabilities it finds in the course
of an assignment?</b></p>
<p>If <company_short/> in the course of an assignment finds a vulnerability which
might affect the customer, it will report this to the customer. If a vulnerability
might affect third parties as well, <company_short/> retains the right to disclose
this vulnerability also to others than the customer. It will only do so after
having given the customer a reasonable period to take measures minimising the
impact of the vulnerability, in line with responsible disclosure best practices.</p>
<p><b>What does <company_short/> do with indicators of compromise it finds?</b></p>
<p>If <company_short/> in the course of an assignment finds indicators of
compromise, such as malware signatures and IP-addresses, it will report this to
the customer. <company_short/> retains the right to also publish this information
in a publicly accessible database. It will only do so after it has given the
customer the opportunity to object to the publication of data which would
negatively impact the customer.</p>
<p><b>Who owns the products developed in the course of the assignment?</b></p>
<p><company_short/> retains any intellectual property rights in products developed
for an assignment, such as software and reports. <company_short/>, however, wants
to teach as many customers as possible 'how to fish'.</p>
<p>For software it developed, this means that <company_short/> gives the customer
a permanent, non-exclusive, transferable, sub-licensable, worldwide license to
distribute and use the software in source and binary forms, with or without
modification (very similar to the BSD-license). If <company_short/>'s software
is based on other software which is provided under a license which restricts
<company_short/>'s ability to license its own software (such as the GPLv3 license),
the more restrictive license will apply.</p>
<p>For other products it developed, such as reports and analyses, <company_short/>
gives the customer the same license, but this license is exclusive to the customer
and does not contain the right to modification. The latter condition is intended
to ensure that the customer will not change <company_short/>'s products, such as
reports and analyses. <company_short/> retains the right to reuse these products,
for example for training and marketing purposes. <company_short/> will remove any
confidential information from these products before publication.</p>
<p><company_short/> retains title to any property transferred to the customer
until all outstanding payments by the customer have been done in full (in Dutch:
<i>eigendomsvoorbehoud</i>”). <company_short/> also only gives a license after
all outstanding payments have been done in full.</p>
<p><b>Who will perform the assignment?</b></p>
<p><company_short/> has the right to appoint the persons who will perform the
assignment. It has the right to replace a person with someone with at least the
same expertise, but only after having consulted with the customer. This means
that section 7:404 Dutch Civil Code (in Dutch: “<i>Burgerlijk Wetboek</i>”) is
excluded.</p>
<p>Due to the nature of <company_short/>'s business, <company_short/> regularly
works with freelancers for the performance of its assignments. <company_short/>
has the right to engage third parties, including freelancers, in the course of
the performance of an assignment.</p>
<p><company_short/> wants to be able to use the expertise of its entire team to
help with an assignment. This means that in the course of an assignment, it is
possible that the persons performing the assignment will consult with and be
advised by others in <company_short/>'s team. These others will of course be
bound by the same confidentiality obligations as the persons performing the assignment.</p>
<p><b>What happens when the scope of the assignment is bigger than agreed?</b></p>
<p><company_short/> and the customer will attempt to precisely define the scope
of the assignment before <company_short/> starts. If during the course of the
assignment, the scope turns out to be bigger than expected, <company_short/>
will report this to the customer and make a written offer for the additional work.</p>
<p><b>How is payment arranged?</b></p>
<p>All amounts in <company_short/>'s offers are in Euros, excluding VAT and
other applicable taxes, unless agreed otherwise.</p>
<p>For assignments where the parties agreed to an hourly fee, <company_short/>
will send an invoice after each month. For other assignments, <company_short/>
will send an invoice after completion of the assignment, and at moments set out
in the offer (if any). The customer must pay an invoice within 30 days of the
invoice date.</p>
<p><company_short/> may, prior to an assignment, agree on the payment of a
deposit by the customer. <company_short/> will settle deposits with interim
payments or the final invoice for the assignment.</p>
<p>If the payment is not received before the agreed term, the client will be
deemed to be in default without prior notice. <company_short/> will then have
the right to charge the statutory interest (in Dutch: “<i>wettelijke rente</i>”)
and any judicial and extrajudicial (collection) costs (in Dutch:
<i>gerechtelijke- en buitengerechtelijke (incasso)kosten</i>”).</p>
<p>If the customer cancels or delays the assignment two weeks before it starts,
<company_short/> is entitled to charge the customer 50% of the agreed price.
If the customer cancels or delays the assignment after it already started,
<company_short/> is entitled to charge the customer 100% of the agreed price.
<company_short/> is entitled to charge a pro rata percentage in the case of
cancellation or delay shorter than two weeks before the start of the assignment
(i.e. a cancellation one week before the assignment would entitle <company_short/>
to charge 75% of the agreed price).</p>
<p><b>For what can <company_short/> be held liable?</b></p>
<p>Any liability of <company_short/> resulting from or related to the performance
of an assignment, shall be limited to the amount that is paid out in that
specific case under an applicable indemnity insurance of <company_short/>,
if any, increased by the amount of the applicable deductible (in Dutch:
<i>eigen risico</i>”) which under that insurance shall be borne by <company_short/>.
If no amount is paid out under an insurance, these damages are limited to the
amount already paid for the assignment, with a maximum of EUR 10.000.
Each claim for damages shall expire after a period of one month from the day
following the day on which the customer became aware or could reasonably
be aware of the existence of the damages.</p>
<p>To make things clear, <company_short/> is not liable if a person associated
with <company_short/> acts contrary to any confidentiality or non-compete
obligation vis-á-vis the customer or a third party, this person might have
agreed to in another engagement.</p>
<p>What happens when third parties lodge a claim or initiate criminal proceedings
against <company_short/>?</p>
<p>The customer shall indemnify <company_short/> and any person employed or
engaged by <company_short/> for any claims of third parties which are in any
way related to the activities of <company_short/> and any person employed or
engaged by <company_short/> for the customer.</p>
<p>Should a third party lodge a claim against <company_short/> or any of the
consultants it engaged or employed as a result of the performance of the assignment
for the customer, then the customer will co-operate fully with <company_short/>
in defending against this claim, including by providing to <company_short/> any
evidence it has which relates to this claim.
Should the public prosecutor initiate an investigation or criminal proceedings
against <company_short/> or any of the consultants it engaged or employed as a
result of the performance of the assignment for the customer, then the customer
will also co-operate fully with <company_short/> in defending against this
investigation or proceedings, including by providing any evidence it has which
relates to this investigation or these proceedings.</p>
<p>The customer shall reimburse <company_short/> and any person employed or
engaged by <company_short/> all costs of legal defence and all damages in
relation to these claims, investigations or proceedings. This provision does
not apply to the extent a claim, investigation, or proceeding is the result of
the intent or recklessness (in Dutch: “<i>opzet of bewuste roekeloosheid</i>”)
of <company_short/> or a person employed or engaged by <company_short/>.</p>
<p><b>When is this agreement terminated and what happens then?</b></p>
<p>Each of the parties may terminate the agreement wholly or partly without
prior notice if the other party is declared bankrupt or is being wound up or if
the other party's affairs are being administered by the court
(in Dutch: “surséance van betaling”).</p>
<p><b>When can <company_short/> not be expected to perform the assignment?</b></p>
<p>In the case of force majeure (in Dutch: “<i>overmacht</i>”) as a result of
which <company_short/> cannot reasonably be expected to perform the assignment,
the performance will be suspended. Situations of force majeure include cases
where means, such as soft- and hardware, which are prescribed by the customer
do not function well. The agreement may be terminated by either party if a
situation of force majeure has continued longer than 90 days. The customer will
then have to pay the amount for the work already performed pro rata.</p>
<p><b>Which law applies and which court is competent?</b></p>
<p>Dutch law applies to the legal relationship between <company_short/> and its
customers. Any dispute between <company_short/> and a customer will be resolved
in the first instance exclusively by the District Court (in Dutch:
<i>rechtbank</i>”) of Amsterdam, the Netherlands.</p>
</annex>
<title>Annex 1<br/>Algemene Voorwaarden</title>
<p>
<b>Wat houdt dit document in?</b>
</p>
<p>
Dit zijn de algemene voorwaarden van <company_long/> (<company_short/>)
Deze versie van de algemene voorwaarden dateert van 15 juli 2014.
</p>
<p>
In de geest van de filosofie van <company_short/> wil <company_short/> dat deze algemene voorwaarden zo
begrijpelijk mogelijk zijn. Vraag gerust om opheldering als u vragen heeft.
</p>
<p>
<b>Wat is Radically Open Security?</b>
</p>
<p>
<company_short/> is een besloten vennootschap met beperkte aansprakelijkheid volgens
Nederlands recht en is gevestigd in Amsterdam, Nederland. Het staat geregistreerd
bij de Nederlandse Kamer van koophandel onder nr. 60628081.
</p>
<p>
<b>Waarop zijn deze algemene voorwaarden van toepassing?</b>
</p>
<p>
Deze algemene voorwaarden zijn van toepassing op alle overeenkomsten tussen
<company_short/> en de klant. <company_short/> wijst algemene voorwaarden die gebruikt worden door de
klant van de hand. Partijen kunnen alleen schriftelijk van deze algemene
voorwaarden afwijken. Deze algemene voorwaarden zijn ook bedoeld ten gunste
van een persoon die tijdens het uitvoeren van een opdracht in dienst is van
of ingeschakeld is door <company_short/>.
</p>
<p>
<b>Hoe stemt <company_short/> in met een opdracht?</b>
</p>
<p>
<company_short/> wil dat beide partijen een duidelijk beeld hebben van een opdracht voordat
die begint. Dit betekent dat er alleen een overeenkomst is tussen <company_short/> en de
klant indien <company_short/> een schriftelijke offerte stuurt met daarin de belangrijkste
bepalingen van de overeenkomst en de klant vervolgens de offerte accepteert.
Mededelingen, anders dan de schriftelijke offerte, maken geen deel uit van de
overeenkomst. <company_short/> kan een offerte intrekken totdat het door de klant is geaccepteerd.
</p>
<p>
<b>Wat kan de klant verwachten van <company_short/>?</b>
</p>
<p>
Het is belangrijk om op de hoogte te zijn van de grenzen van de diensten van
<company_short/>. <company_short/> garandeert niet (en kan niet garanderen) dat iets veilig is. In plaats
daarvan heeft <company_short/> een inspanningsverplichting om de afgesproken diensten uit
te voeren.
</p>
<p>
<company_short/> zal redelijke inspanningen leveren om de opdracht uit te voeren conform
de planning die is vastgelegd in de offerte (indien van toepassing). Indien
<company_short/> verwacht dat het de planning niet haalt, brengt <company_short/> de klant onverwijld
op de hoogte. <company_short/> wordt niet automatisch in verzuim geacht te zijn indien
<company_short/> de planning niet haalt.
</p>
<p>
<company_short/> zal redelijke inspanningen leveren om schade aan systemen die eigendom
zijn van de klant of beheerd worden door de klant te voorkomen, maar kan niet
garanderen dat dergelijke schade zal worden vermeden. <company_short/> is niet verplicht
om data te herstellen die het tijdens de opdracht heeft verwijderd of gewijzigd.
</p>
<p>
<b>Wat kan <company_short/> van de klant verwachten?</b>
</p>
<p>
De klant zal <company_short/> voorzien van alle nodige middelen om <company_short/> in staat te stellen
om de afgesproken diensten uit te voeren. Indien <company_short/> nadrukkelijke toestemming
nodig heeft van de klant om zijn diensten uit te voeren, bijvoorbeeld bij het
uitvoeren van penetratietesten of een basis-securityscan, geeft de klant deze toestemming. De klant
garandeert tevens dat het de wettelijke bevoegdheid heeft om deze toestemming te geven.
</p>
<p>
<b>Hoe gaan de partijen om met vertrouwelijk informatie?</b>
</p>
<p>
<company_short/> en de klant onthullen aan anderen geen vertrouwelijke informatie en persoonlijke
gegevens die zij van elkaar ontvangen of waar zij gedurende de opdracht toegang
toe krijgen. <company_short/> heeft het recht om de informatie openbaar te maken aan personen
die door <company_short/> zijn ingeschakeld, maar alleen indien deze personen een vergelijkbare
geheimhoudingsplicht hebben ten aanzien van <company_short/>. Een ieder aan wie deze informatie
of deze gegevens openbaar zijn gemaakt zal dit alleen gebruiken voor de doelen
die voortkomen uit de overeenkomst. Beide partijen zullen redelijke maatregelen
nemen om de vertrouwelijkheid van deze informatie en gegevens te handhaven,
ook met betrekking tot personen die door de partijen zijn ingeschakeld.
</p>
<p>
<b>Wat doet <company_short/> met kwetsbaarheden die het tijdens de opdracht ontdekt?</b>
</p>
<p>
Indien <company_short/> tijdens de opdracht een kwetsbaarheid vindt die de klant zou kunnen
beïnvloeden, geeft <company_short/> dit door aan de klant. Indien een kwetsbaarheid derden
ook zou kunnen beïnvloeden, behoudt <company_short/> het recht om deze kwetsbaarheid ook
aan anderen dan te klant bekend te maken. <company_short/> zal dit alleen doen nadat <company_short/>
de klant een redelijke periode heeft gegeven om maatregelen te nemen om het
effect van de kwetsbaarheid te minimaliseren, overeenkomstig best practices
voor responsible disclosure.
</p>
<p>
<b>Wat doet <company_short/> als het indicaties van compromittering tegenkomt? </b>
</p>
<p>
Indien <company_short/> tijdens een opdracht indicaties van compromittering tegenkomt,
zoals malware-handtekeningen en IP-adressen, geeft <company_short/> dit door aan de klant.
<company_short/> behoudt het recht om deze informatie ook in een openbaar toegankelijke
database te publiceren. <company_short/> zal dit alleen doen nadat het de klant de mogelijkheid
heeft gegeven om bezwaar te maken tegen de publicatie van gegevens die een negatief
effect zouden hebben op de klant.
</p>
<p>
<b>Wie is eigenaar van de producten die tijdens de opdracht worden ontwikkeld?</b>
</p>
<p>
<company_short/> behoudt intellectuele eigendomsrechten van producten die voor een opdracht
zijn ontwikkeld, zoals software en rapporten. <company_short/> wil echter zoveel mogelijk
klanten leren vissen.
</p>
<p>
Voor software die <company_short/> heeft ontwikkeld betekent dit dat <company_short/> de klant een
permanente, niet-exclusieve, overdraagbare, sub-licentieerbare, wereldwijde
licentie geeft om de software in bronvorm of binaire vorm te verspreiden of
te gebruiken, met of zonder wijziging (vrijwel gelijk aan de BSD-licentie).
Indien de software van <company_short/> gebaseerd is op andere software die geleverd is
onder een licentie die het vermogen beperkt van <company_short/> om een licentie te verbinden
aan de eigen software (zoals de GPLv3-licentie), is de beperkendere licentie
van toepassing.
</p>
<p>
Voor overige producten die <company_short/> heeft ontwikkeld, zoals rapporten en analyses,
geeft <company_short/> dezelfde licentie aan de klant, maar deze licentie geldt exclusief
voor de klant en bevat geen recht op wijziging. De laatste voorwaarde is bedoeld
om te garanderen dat de klant de producten van <company_short/> niet verandert, zoals rapporten
en analyses. <company_short/> behoudt het recht om deze producten opnieuw te gebruiken,
bijvoorbeeld voor trainings- en marketingdoeleinden. Voorafgaand aan publicatie
verwijdert <company_short/> vertrouwelijke informatie van deze producten.
</p>
<p>
<company_short/> behoudt het eigendomsrecht van een goed dat is overgedragen aan de klant
totdat alle uitstaande betalingen volledig door de klant zijn voldaan, i.e.
eigendomsvoorbehoud. <company_short/> geeft tevens alleen een licentie nadat alle uitstaande
betalingen volledig zijn voldaan.
</p>
<p>
<b>Wie zal de opdracht uitvoeren?</b>
</p>
<p>
<company_short/> heeft het recht om personen te benoemen die de opdracht zullen uitvoeren.
<company_short/> heeft het recht om een persoon te vervangen door iemand met minstens
dezelfde expertise, maar alleen na overleg met de klant. Dit betekent dat artikel
7:404 van het Nederlands Burgerlijk Wetboek is uitgesloten.
</p>
<p>
Vanwege de aard van de zaken van <company_short/> werkt <company_short/> regelmatig met freelancers
voor het uitvoeren van de opdrachten. <company_short/> heeft het recht om derden in te schakelen,
waaronder freelancers, tijdens het uitvoeren van een opdracht.
</p>
<p>
<b>Wat gebeurt er wanneer de omvang van de opdracht groter is dan afgesproken?</b>
</p>
<p>
<company_short/> en de klant zullen proberen om de omvang van de opdracht nauwkeurig te
bepalen voordat <company_short/> begint. Indien tijdens de opdracht de omvang groter blijkt
te zijn dan verwacht zal <company_short/> dit rapporteren aan de klant en een schriftelijke
offerte opstellen voor het meerwerk.
</p>
<p>
<b>Hoe is de betaling geregeld?</b>
</p>
<p>
Alle bedragen in de offertes van <company_short/> zijn in euros en exclusief BTW en
overige van toepassing zijnde belastingen, tenzij anders overeengekomen.
</p>
<p>
Voor opdrachten waarbij de partijen een uurtarief hebben afgesproken stuurt
<company_short/> aan het einde van iedere maand een factuur. Voor overige opdrachten zal
<company_short/> een factuur sturen na voltooiing van de opdracht en op momenten zoals
vastgelegd in de offerte (indien van toepassing). De klant moet een factuur
binnen 30 dagen na factuurdatum betalen.
</p>
<p>
<company_short/> kan, voorafgaand aan een opdracht, instemmen met een aanbetaling door de klant.
<company_short/> zal aanbetalingen verrekenen met tussentijdse betalingen of met de laatste
factuur voor de opdracht.
</p>
<p>
Indien de betaling niet voor de afgesproken termijn is ontvangen wordt de
klant zonder voorafgaande kennisgeving geacht in verzuim te zijn. <company_short/> heeft
dan het recht om de wettelijke rente en eventuele gerechtelijke en buitengerechtelijke
(incasso)kosten in rekening te brengen.
</p>
<p>
Indien de klant de opdracht binnen twee weken voor de start annuleert of
uitstelt heeft <company_short/> het recht om de klant 50% van de afgesproken prijs in
rekening te brengen.
</p>
<p>
<b>Waarvoor kan <company_short/> aansprakelijk worden gesteld?</b>
</p>
<p>
Een aansprakelijkheid van <company_short/> ten gevolge van of in verband met de uitvoering
van een opdracht is beperkt tot het bedrag dat in dat specifieke geval krachtens
een van toepassing zijnde aansprakelijkheidsverzekering van <company_short/> is uitbetaald,
indien van toepassing, verhoogd met het bedrag van het eigen risico, dat volgens
de verzekering wordt gedragen door <company_short/>. Indien geen bedrag wordt uitbetaald
krachtens een verzekering, is deze schadevergoeding beperkt tot het bedrag
dat al is betaald voor de opdracht, met een maximum van 10.000 euro.
</p>
<p>
Elke vordering tot schadevergoeding verloopt na een periode van een maand
vanaf de dag volgend op de dag waarop de klant kennis had gekregen van of
redelijkerwijs kennis zou kunnen krijgen van het bestaan van de schadevergoeding.
</p>
<p>
Ter verduidelijking, <company_short/> is niet aansprakelijk wanneer een persoon die verbonden
is met <company_short/> handelt in strijd met eventuele geheimhouding of niet-concurrentiebeding
ten aanzien van de klant of derden, die deze persoon afgesproken zou kunnen
hebben in een andere verbintenis.
</p>
<p>
<b>Wat gebeurt er wanneer derden een vordering indienen of een strafrechtelijke
procedure instellen tegen <company_short/>?</b>
</p>
<p>
De klant vrijwaart <company_short/> en een persoon in dienst van of ingeschakeld door <company_short/>
van vorderingen van derden die op enige manier verband houden met de activiteiten
van <company_short/> en een persoon in dienst van of ingeschakeld door <company_short/> voor de klant.
De klant vergoed aan <company_short/> en een persoon in dienst van of ingeschakeld door <company_short/>
alle kosten voor juridische bijstand en alle schade met betrekking tot deze
vorderingen. Deze bepaling is niet van toepassing voor zover een vordering
het gevolg is van opzet of bewuste roekeloosheid van <company_short/> of een persoon in
dienst van of ingeschakeld door <company_short/>.
</p>
<p>
Indien een derde partij een vordering indient tegen <company_short/> of een van de adviseurs
die <company_short/> heeft ingeschakeld of in dienst heeft, als gevolg van het uitvoeren
van de opdracht voor de klant, zal de klant volledig meewerken met <company_short/> in de
verdediging tegen deze vordering, inclusief het leveren aan <company_short/> van enig
bewijs dat betrekking heeft op deze vordering. Indien de officier van justitie
een onderzoek instelt of een strafrechtelijke procedure instelt tegen <company_short/> of
een van de adviseurs die <company_short/> heeft ingeschakeld of in dienst heeft, als gevolg
van het uitvoeren van de opdracht voor de klant, zal de klant ook volledig
meewerken met <company_short/> in de verdediging tegen dit onderzoek of procedure, inclusief
het leveren van enig bewijs dat betrekking heeft op dit onderzoek of deze procedure.
</p>
<p>
<b>Wanneer wordt deze overeenkomst beëindigd en wat gebeurt er dan?</b>
</p>
<p>
Elk van de partijen kan de overeenkomst zonder voorafgaande kennisgeving
geheel of gedeeltelijk beëindigen indien de andere partij failliet is verklaard
of is ontbonden of indien de andere partij in surseance van betaling verkeert.
</p>
<p>
<b>Wanneer kan er niet van <company_short/> worden verwacht dat het de opdracht uitvoert?</b>
</p>
<p>
In het geval van overmacht als gevolg waarvan van <company_short/> redelijkerwijs niet verwacht
kan worden dat het de opdracht uitvoert, zal de uitvoering worden uitgesteld.
Situaties van overmacht zijn onder andere gevallen waarbij middelen zoals
software en hardware die zijn voorgeschreven door de klant niet goed functioneren.
Indien een situatie van overmacht langer dan 90 dagen heeft geduurd, kan de
overeenkomst door een van beide partijen worden beëindigd. De klant zal dan
naar rato het bedrag moeten betalen voor het werk dat al is uitgevoerd.
</p>
<p>
<b>Welk recht is van toepassing en welke rechtbank is bevoegd?</b>
</p>
<p>
Op de rechtsverhouding tussen <company_short/> en zijn klanten is het Nederlands recht
van toepassing. Een geschil tussen <company_short/> en een klant wordt in eerste instantie
uitsluitend beslecht door de Arrondissementsrechtbank te Amsterdam, Nederland.
</p>
</annex>

11
xml/source/snippets/offerte/nl/planningandpayment.xml
View File

@@ -1,20 +1,19 @@
<?xml version="1.0" encoding="UTF-8"?>
<section>
<title>Planning en Betaling</title>
<p><company_short/> houdt het volgende schema aan voor haar werkzaamheden:</p>
<p><company_short/> houdt de volgende planning aan voor haar werkzaamheden:</p>
<p>
<ul>
<li><p_testingduration/>: <company_short/> voert <company_svc_short/> uit op het doelwit</li>
<li><p_reportwritingduration/>: <company_short/> maakt een concept rapport over de tests</li>
<li><p_reportdue/>: <company_short/> levert het definitieve rapport.</li>
<li><company_short/> voert <company_svc_short/> uit op het doelwit: <p_testingduration/>.</li>
<li><company_short/> levert het definitieve rapport: <p_reportdue/>.</li>
</ul>
</p>
<!-- snippet --><p>Ons vaste tarief voor de bovenstaand beschreven
<p>Ons vaste tarief voor de bovenstaand beschreven
<company_svc_short/> is <p_fee/>,- excl. BTW en bijkomende kosten.
<company_short/> zal een factuur sturen na afronding van deze opdracht.
<client_short/> zal het afgesproken bedrag binnen 30 dagen na de factureringsdatum overmaken.</p>
<!-- snippet --><p>Eventuele extra werkzaamheden zullen apart worden verrekend.
<p>Eventuele extra werkzaamheden zullen apart worden verrekend.
Een uurtarief zal hieraan voorafgaand worden besproken.</p>
</section>

33
xml/source/snippets/offerte/nl/projectoverview.xml
View File

@@ -1,21 +1,42 @@
<?xml version="1.0" encoding="UTF-8"?>
<section>
<section todo="no">
<title>Projectoverzicht</title><!-- section with an overview of ROS activities -->
<!-- snippet --><p><company_short/> zal <company_svc_long/> uitvoeren voor <client_short/>
op de onderstaand beschreven systemen. De diensten zijn bedoelt om inzicht te bieden
op de hieronder beschreven systemen. De diensten zijn bedoeld om inzicht te bieden
in de veiligheid van deze systemen. Om dit te kunnen bewerkstelligen zal <company_short/>
toegang krijgen tot deze systemen, proberen kwetsbaarheden op te sporen en trachten
verdere toegang te krijgen door de gevonden kwetsbaarheden uit te buiten.</p>
<!-- snippet --><p><company_short/> zal de volgende objectieven testen
(de “<b>objectieven</b>”):</p>
<!-- snippet --><p><company_short/> zal de volgende doelwitten testen
(de “<b>Doelwitten</b>”):</p>
<generate_targets/>
<!-- snippet --><p><company_short/> zal testen op de aanwezigheid van de
meest voorkomende kwetsbaarheden, gebruik makend van zowel publiek beschikbare
scanning tools, als door handmatig testen. <company_short/> zal een
<p_duration/>-daagse, <p_boxtype/>, grondige test uitvoeren, via internet.</p>
scanning tools, als door handmatig testen. <company_short/> zal een grondige
<p_duration/>-daagse, <p_boxtype/> test uitvoeren via internet.</p>
<section todo="yes">
<title>Scope</title>
<p><company_short/> schat de uitvoering van de penetratietest op ... dagen in totaal: </p>
<ul>
<li>... dagen voor het testen van ...;</li>
<li>... dagen voor het testen van ...;</li>
<li>... dagen voor de verificatie van potentiële risico's, opstellen van een Proof of Concept
en het vastleggen van onze bevindingen en aanbevelingen in het rapport.</li>
</ul>
<br/>
<b>Out of scope</b><br/>
<p>De onderliggende netwerkinfrastructuur, ..., ... en eventuele loadbalancing-infrastructuur maken geen deel uit van de scope.
Uitgesloten zijn ook:</p>
<ul>
<li>elke vorm van social engineering;</li>
<li>(D)DoS aanvallen;</li>
<li>...</li>
</ul>
</section>
<!-- snippet --> <!--Not Needed if Disclaimer is Included; Duplicate Text-->
<!--p>It is possible that in the course of the penetration

29
xml/source/snippets/offerte/nl/teamandreporting.xml
View File

@@ -11,18 +11,18 @@
<li><company_poc1/> (<company_short/>)</li>
<li><client_poc1/> (<client_short/>)</li>
</ul>
<p>Onze penetratie tests lijken een beetje op een "verover de vlag competitie":
<p>Onze penetratie tests lijken een beetje op een "<i>Capture The Flag</i>-competitie":
<company_long/> heeft een geografisch gedistribueerd team
en wij gebruiken online infrastructuur (RocketChat, GitLabs, etc.)
om ons werk te coördineren. Dit geeft ons de mogelijkheid om
<company_long/> heeft een geografisch gedistribueerd team;
wij gebruiken online infrastructuur (RocketChat, GitLabs, etc.)
om ons werk te coördineren. Dit geeft ons de mogelijkheid
om verscheidene technische mensen uit de organisatie van de klant
uit te nodigen om op vrijwillige basis samen te werken met ons pentest team.
Natuurlijk geldt deze uitnodiging ook voor <client_short/>.</p>
uit te nodigen om op vrijwillige basis samen te werken met ons pentestteam.
Uiteraard geldt deze uitnodiging ook voor <client_short/>.</p>
<p>In de loop van het project hebben wij de insteek om actief te
brainstormen met <client_short/> over zowel de pentest, als het proces.
Dit is een doorlopende leerervaring voor zowel u, als voor onszelf.
brainstormen met <client_short/> over zowel de pentest als het proces.
Dit is een doorlopende leerervaring voor zowel u als onszelf.
Daarnaast hebben wij ervaren dat een directe lijn voor feedback naar de klant
de kwaliteit en de focus van het dienstverband enorm verbeteren.</p>
@@ -30,22 +30,21 @@
<section>
<title>Rapportage</title>
<p><company_short/> zal rapporteren aan <client_short/> betreffende de
penetratie test. Dit rapport zal de genomen stappen bevatten die benodigd waren
penetratietest. Dit rapport zal de genomen stappen bevatten die benodigd waren
gedurende de test en daarnaast de bevonden kwetsbaarheden. Daarnaast zal het
aanbevelingen bevatten, maar geen uitgebreide oplossingen om deze
kwetsbaarheden op te lossen.</p>
<p>Een voorbeeld van een Pentest rapport kan hier gevonden worden</p>
<p>Een voorbeeld van een pentestrapport vindt u hier:</p>
<ul>
<li><a href="https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-
pentestreport-v10.pdf">https://github.com/radicallyopensecurity/templates/blob/master/sample-report/REP_SittingDuck-
pentestreport-v10.pdf</a></li>
</ul>
<p>Een van <company_short/> haar kernwaarden is het
"Leer iemand Vissen" principe - ook bekend als het
"Meekijken over de Schouder" principe. Wij streven ernaar om
onze diensten te structureren, zodat zij kans kunnen bieden
om deze te benutten voor educatieve- of trainingsdoeleinden voor onze klanten.</p>
<p>Een van de kernwaarden van <company_short/> is het
"Teach To Fish" principe - ook bekend als het
"Peek over our Shoulder (PooS)" principe. Wij streven ernaar om
onze diensten en rapporten zodanig te structureren dat onze klanten ze mogelijk kunnen benutten voor educatieve of trainingsdoeleinden.</p>
</section>
</section>

4
xml/source/snippets/offerte/nl/waiver.xml
View File

@@ -28,9 +28,7 @@ in de veiligheid van deze systemen. <company_short/> zal zich daartoe toegang ve
deze systemen om op zoek te gaan naar kwetsbaarheden. Vervolgens zal worden getracht
dergelijke kwetsbaarheden uit te buiten om verdere toegang en verhoogde privileges
te bemachtigen. <company_short/> zal de volgende doelwitten testen (de “Doelwitten”):
<ul>
<li>Doelsysteem</li>
</ul>
<generate_targets/>
</p>
<p>2. <i><signee_short/></i> verklaart hierbij <company_short/> en de Consultants op een datum die
per email zal worden bevestigd de meest uitvoerige toestemming te verlenen voor