Quante informazioni sui nostri test di sicurezza e penetrazione dovremmo condividere con i clienti?

Ciò varierà in base alla tua attività e alla trasparenza che hai con i tuoi clienti. La maggior parte delle aziende esegue test sulla propria applicazione e condivide con i clienti gli standard su cui sono stati testati, ma non il "passo dopo passo" dei test.

Ad esempio, supponiamo di avere un'applicazione web, puoi dire ai tuoi clienti che la tua applicazione è stata testata con Standard per le applicazioni Web OWASP . Questo dovrebbe essere sufficiente per soddisfare la maggior parte dei clienti.

Se gestisci informazioni riservate, potrebbe essere necessario ottenere la certificazione in alcune normative. Ad esempio, se gestisci i dati della carta di credito, devi essere certificato PCI. Una volta ottenuta questa certificazione, devi solo dimostrare ai tuoi clienti che hai trasmesso PCI, ma non devi necessariamente descrivere ogni singolo test eseguito.

La maggior parte dei clienti più grandi valuterà il contratto (e la sua capacità di sicurezza) usando artefatti da organizzazioni come Cloud Security Alliance . Vale quindi la pena investire un po 'di denaro nell'ottenere risposte valide per le domande nella Iniziativa di valutazione del consenso Questionario (CAIQ) - questo non ti manterrà nel giusto, ma sarà anche un prezioso strumento di vendita quando firmi nuovi contratti con i clienti.

Ci sono altri standard che puoi ovviamente applicare, CSA è quello che ho visto di più.