Knowledge Base

Owner consent для запуска security scan

Цель

Категория: Compliance / Legal · Риск: high

Цель

Security scanner делает сетевые проверки реального домена. Даже если проверки пассивные и низкоинтенсивные, сервис должен явно подтверждать, что пользователь владеет ресурсом или имеет разрешение владельца.

Минимальный backend-контракт

`POST /api/scan` должен принимать `target` и `consent`. Если `consent` отсутствует или равен `false`, API возвращает ошибку и не создаёт scan job. Для будущего SaaS полезно хранить `consent_version`, чтобы понимать, какой текст пользователь принял на момент запуска проверки.