Bij security-onderzoek onderzoek is het belangrijk expliciet vast te leggen wat u wel en niet mag doen, bijvoorbeeld binnendringen in databases of het kopiëren van gegevens. Dit gebeurt in een zogeheten pentest waiver oftewel vrijwaringsverklaring. Hiermee staat u sterk bij eventuele claims wegens schade of computercriminaliteit achteraf.
Steeds meer security-onderzoek gaat gepaard met wat juridisch als strafbare computervredebreuk gezien zou kunnen worden. Goed onderzoek vereist namelijk het testen van alle aspecten van een systeem, en daaronder kan ook vallen het raden van wachtwoorden of het kraken van beveiligingen. Het is natuurlijk niet wenselijk dat een onderzoeker daar vervolgens strafrechtelijk voor vervolgd wordt, of schadeclaims krijgt van de klant of zijn leveranciers.
In een pentestovereenkomst of penetration testing overeenkomst (ook wel waiver, afstandsverklaring) spreken partijen af dat de leverancier de systemen van de klant mag onderzoeken op kwetsbaarheden waarmee binnengedrongen kan worden op die systemen. Een pentestovereenkomst laat zien dat er toestemming is van het ‘slachtoffer’, zodat er geen sprake meer is van een strafbaar feit. Zeer gebruikelijk is de pentestovereenkomst als ondertekend stuk papier oftewel akte op te stellen zodat het sterkste bewijs beschikbaar is van de wil van de opdrachtgever.
Een pentestovereenkomst wordt meestal opgezet als aanvullende overeenkomst binnen een reeds bestaande relatie, en dus verwijzen naar de inhoud daarvan voor de scope van de opdracht, de prijs et cetera. Is er nog geen overeenkomst, dan zal de leverancier gewoonlijk een uitgebreidere omschrijving van de diensten opnemen en zijn eigen algemene voorwaarden van toepassing verklaren op de pentestovereenkomst.