Ci sono diversi approcci popolari a questo.
In primo luogo, ottenere un revisore indipendente di terze parti per garantire per voi. Questo è più efficace se è fatto da un nome noto (ad esempio, ottenere Troy Hunt per garantire te, o Charlie Miller se sei sul sistema operativo Apple), o un nome familiare enorme (se il tuo mercato di riferimento non è tecnico / gente non di sicurezza) - es E & Y o Accenture.
Facendo questo un ulteriore passo avanti, puoi ottenere l'accreditamento da una normativa o certificazione di terze parti. Questo è probabilmente il più popolare, e IMO probabilmente il meno efficace.
Questo potrebbe variare da PCI-DSS (che dovresti fare comunque se gestisci le carte di credito), fino al famigerato "HackerSafe" (penso che sia chiamato "McAfeeSECURE !! 1!" Ora). In ogni caso, in realtà non mostra alcuna qualità reale, e in alcuni casi è facilmente falsificato. tosse
C'è una terza opzione, che è molto più difficile da fare bene, ma molto più efficace in particolare con quelli che più capiscono cosa significhi. Questa opzione richiede due passaggi:
- In realtà essere sicuri e avere un processo strong per garantire questo;
- Condivisione dei dettagli di quel processo e di ciò che effettivamente comporta.
Essere sicuri è una domanda molto più ampia e fuori portata da questa risposta; condividere i dettagli è ovviamente molto meno comune nelle grandi aziende, anche se sto iniziando a vederlo in più start-up e imprese ancora più grandi, ma tecniche.
Questo potrebbe includere informazioni sul tuo SDLC; spiegazioni dei tuoi requisiti di sicurezza; dettagli tecnici sulla tua implementazione; possibilmente un bug bug aperto, ma almeno una dichiarazione di risposta ai ricercatori ( e follow-through! ); forse anche aprendo la tua base di codice, se pertinente; e così via e così via.
Ovviamente è necessario un esperto esperto in sicurezza per aiutarti a garantire la sicurezza della tua applicazione; un ottimo strumento potrebbe aiutarti ad "aprire il kimono" in modo produttivo, ma sicuro. Fatto bene, questo potrebbe anche aumentare gli sforzi di marketing, e ancora non rivelare dettagli sensibili che potrebbero aiutare un aggressore a ignorare i controlli.
È interessante notare che spesso i professionisti della sicurezza della vecchia scuola (specialmente quelli con un background aziendale) insistono nel non rivelare nulla; ma non solo se questo non aumenta affatto il rischio o la superficie di attacco (se fatto bene), può sicuramente aiutare a dissipare qualsiasi potenziale paura o preoccupazione dei clienti, specialmente se capiscono cosa stanno leggendo.
Assicurati di avere qualcuno che sappia cosa stanno facendo.