Todo lo cual no esté explícitamente abarcado dentro del alcance del contrato debe manejarse muy cuidadosamente. La primera razón para esto es el desplazamiento del alcance original. Conforme el alcance se expande se consumen recursos, lo cual reduce las ganancias para el profesional en pruebas de penetración, además incluso crea confusión y enojo en el cliente. Existe otro problema el cual muchos profesionales no consideran cuando realizan trabajos adicionales de forma ad-hoc: las ramificaciones legales.

Muchas peticiones ad-hoc no son adecuadamente documentadas, por lo cual puede ser difícil determinar quien dijo algo en el caso de una disputa o acción legal. Además el contrato es un documento legal especificando el trabajo a ser realizado. Debe estar estrechamente vinculado hacia el memo conteniendo el permiso para la prueba.

Cualquier petición fuera del alcance original debe ser documentado en la forma de una declaración de trabajo, el cual claramente identifique el trabajo a ser realizado. También se recomienda claramente declarar en el contrato, la realización de trabajo adicional deberá ser hecho considerando una tarifa por hora, además de explícitamente definir el trabajo adicional no puede ser completado hasta se haya firmado y refrendando una declaración de trabajo.

Fuentes:

http://www.pentest-standard.org/index.php/Pre-engagement
http://everyspec.com/MIL-HDBK/MIL-HDBK-0200-0299/MIL-HDBK-245D_1888/