Nem azt a papírt adja, hogy az "önök cége biztonságos", hanem azt, hogy az "önök cége _az általam elvégzett tesztek szerint_ biztonságos". Pontosabban az volt, amikor a teszteket végeztem.
Az már más kérdés, hogy ezt valakik félreértik, vagy félre akarják érteni.
Gondolom telepítettél már olyan rendszert ügyfélnél, amiben később kibukott egy heartbleed vagy hasonló hiba. Ha ott megkérdezik, hogy szerinted az a rendszer biztonságos-e, akkor mit mondtál volna?