Quante informazioni sulla sicurezza pubblicizzare?

4

Ci scusiamo se questo è nella sezione sbagliata, non è sicuro se dovrebbe andare in errore del server o no.

Mi sto preparando a lanciare una nuova app web. Abbiamo fatto molti sforzi per offrire una buona sicurezza. Dal punto di vista delle pubbliche relazioni, ho bisogno di menzionare alcune delle nostre azioni: la sicurezza è una parte fondamentale e il punto di vendita di questo progetto e i dettagli saranno previsti.

Quindi, la mia domanda è: quanto diamo via senza compromettere la nostra sicurezza. Ti imbatti in fw / proxy, nid, hids, honeyd, architettura compartimentata e watchdog ecc. O semplicemente "siamo conformi PCI".

Devo sottolineare che un buon numero di utenti, in particolare le prime porte, sarà attento alla sicurezza e ben informato; è "PCI Compiant" tagliato?

    
posta Paul 15.12.2013 - 18:10
fonte

2 risposte

6

Concentrati meno sul fornire un rapporto dettagliato sulla sicurezza e altro sulla risposta alle potenziali domande dell'utente.

Se la tua app utilizza TLS per comunicare con i server, allora questo è un punto elenco per la tua pagina di sicurezza. Se hai cancellato le tue password con pbkdf2, ce n'è un'altra. Se memorizzi una copia di backup delle credenziali utente su un server ospitato con Amazon nella zona us-east-1a ... ok, puoi probabilmente capire perché quel dettaglio non risponde realmente alle domande degli utenti, ma fornisce solo informazioni sugli attacchi.

Con conformità PCI; se si accettano carte di credito, si presume che sia conforme PCI. E comunque, il PCI riguarda la protezione delle carte di credito, non degli utenti. Visa si preoccupa se si memorizzano CVV2, non se si vendono numeri di telefono dei clienti sui forum russi. C'è un mondo di differenza tra il vero furto d'identità e il furto del numero di carta di credito, e l'industria delle carte di pagamento è finanziariamente responsabile solo per quest'ultimo.

Invece, potresti voler indicare alcuni aspetti del test di conformità PCI che sarebbero rilevanti per gli utenti. "Pratiche di sicurezza e infrastruttura rigorosamente controllate da [ nome della società ]."

    
risposta data 15.12.2013 - 21:05
fonte
5

Consiglierei di descrivere alcune delle misure che utilizzi senza entrare nei dettagli precisi. Sicuramente evitare qualsiasi menzione di argomenti semi-snakeoil come "crittografia di livello militare". Una dichiarazione di conformità PCI probabilmente fornirebbe un livello di comfort che hai almeno considerato le basi, ma potrebbe non soddisfare i clienti molto sensibili alla sicurezza.

In una certa misura il problema con la descrizione delle tecnologie di sicurezza che utilizzi è che c'è una differenza tra la distribuzione di FW / IDS / IPS / etc e la loro implementazione efficace ..

Di conseguenza, se possibile, fornire prove di revisione esterna è un'opzione per migliorare le percezioni delle persone. Ad esempio, affermando che le verifiche di sicurezza esterne dei sistemi sono state completate su base regolare, le aree "x" rappresenterebbero un passaggio positivo.

Potresti anche pubblicare informazioni sul livello di sommario esecutivo dalle recensioni di terze parti. Alcuni consulenti ne addebiteranno di più (perché se il loro nome è su un rapporto pubblicato, la loro reputazione è parzialmente in gioco) ma potrebbe (se l'ambito e la profondità della valutazione è corretta) garantire ai clienti che non è solo quello che dici quanto è grande la tua sicurezza:)

    
risposta data 15.12.2013 - 19:31
fonte

Leggi altre domande sui tag