Se for uma condição de fazer negócios com eles, com certeza (e você mesmo deve fazer isso ...) se não conversar com o representante de vendas / conta que os manipula e ver se eles podem ler o quanto estão dizendo não machucaria o relacionamento.
No que diz respeito aos acordos legais anteriores, eu diria que você deve ter no mínimo o seguinte:
- NDA especificando que eles não podem divulgar quaisquer vulnerabilidades encontradas fora de pessoas dentro de sua organização que tenham necessidade de saber sobre elas.
- Acordo para executar a execução em uma instância de controle de qualidade / teste ou em horários fora de pico
- Responsabilidade - eles são responsáveis por qualquer perda de receita devido ao programa quebrar as coisas
- A corrida será coordenada com o seu NOC / Sistemas / Rede / quem quer que seja, para que ninguém fique surpreso e todos estejam prontos para o caso.