Quante informazioni sui nostri test di sicurezza e penetrazione dovremmo condividere con i clienti?

4

Abbiamo un servizio Saas B2B eseguito su Microsoft Azure. Microsoft pubblica molte informazioni sulla sicurezza di Azure ma occasionalmente i clienti ci chiedono dei test di sicurezza e dei controlli che sono stati eseguiti sul nostro software, piuttosto che sulla piattaforma di Microsoft in generale.

Quali buone pratiche dovremmo seguire qui? È sufficiente dire che i nostri sistemi vengono regolarmente testati da specialisti indipendenti certificati? O dovremmo fornire maggiori dettagli - in caso affermativo a quale livello?

    
posta rpg II 06.03.2017 - 13:26
fonte

2 risposte

5

Ciò varierà in base alla tua attività e alla trasparenza che hai con i tuoi clienti. La maggior parte delle aziende esegue test sulla propria applicazione e condivide con i clienti gli standard su cui sono stati testati, ma non il "passo dopo passo" dei test.

Ad esempio, supponiamo di avere un'applicazione web, puoi dire ai tuoi clienti che la tua applicazione è stata testata con Standard per le applicazioni Web OWASP . Questo dovrebbe essere sufficiente per soddisfare la maggior parte dei clienti.

Se gestisci informazioni riservate, potrebbe essere necessario ottenere la certificazione in alcune normative. Ad esempio, se gestisci i dati della carta di credito, devi essere certificato PCI. Una volta ottenuta questa certificazione, devi solo dimostrare ai tuoi clienti che hai trasmesso PCI, ma non devi necessariamente descrivere ogni singolo test eseguito.

    
risposta data 06.03.2017 - 15:02
fonte
0

La maggior parte dei clienti più grandi valuterà il contratto (e la sua capacità di sicurezza) usando artefatti da organizzazioni come Cloud Security Alliance . Vale quindi la pena investire un po 'di denaro nell'ottenere risposte valide per le domande nella Iniziativa di valutazione del consenso Questionario (CAIQ) - questo non ti manterrà nel giusto, ma sarà anche un prezioso strumento di vendita quando firmi nuovi contratti con i clienti.

Ci sono altri standard che puoi ovviamente applicare, CSA è quello che ho visto di più.

    
risposta data 06.03.2017 - 15:46
fonte

Leggi altre domande sui tag