Standard / certificati di sicurezza delle applicazioni Web

3

Attualmente sto lavorando su applicazioni / servizi Web che (si spera) verranno utilizzati in un'ampia varietà di modi. Certo che sto cercando di attirare anche alcuni utenti commerciali e, come tutti sappiamo, si preoccupano dei certificati. Quindi la mia domanda è:

Quali sono i certificati più riconosciuti e più preziosi che un'applicazione web deve avere?

In breve, sul progetto e dettagli tecnici:

  • .NET 4.5
  • CMS SaaS basato su Azure
  • Gli utenti saranno in grado di inserire una varietà di dati video (caricando anche i file)
  • Gli utenti saranno in grado di creare i propri plugin / moduli
  • Alla fine sarà open source (non presto)

Inoltre, sono interessato alla procedura di certificazione, come funziona? Immagino che dovrò sottoporre a test l'intera applicazione, quindi chi fa i test delle penne, i certificatori?

Grazie!

Questo è il mio primo post su security.stackexchange, quindi non essere troppo severo con me:).

    
posta Ernestas Romeika 30.04.2013 - 16:33
fonte

3 risposte

3

Non ci sono davvero "certificazioni" per le app web. La cosa più vicina a cui riesco a pensare è PCI-DSS, ma il lato della web app è minimo - è largamente applicabile a tutta l'infrastruttura e ai processi aziendali e si concentra strongmente sui pagamenti con carta.

Se sei specificamente alla ricerca di certificazioni, i certs di sviluppo di app web potrebbero essere una buona scelta per uno sviluppatore da ottenere. Nota che si applicano alla persona che fa lo sviluppo, non all'applicazione. Alcune cose che puoi ottenere certificate per / come quello che ti viene in mente sono Microsoft SDL e GIAC GIAC (ce n'è uno .NET).

In termini di mantenimento della sicurezza su un sito, solitamente il sito viene sottoposto a ripetizione da parte di un'organizzazione professionale, riesamina i problemi di sicurezza, quindi li risolve. Non hai davvero un certificato magico lucido per farlo, ma sei in grado di crogiolarti nella calda luce di sapere che hai preso sul serio la sicurezza. Inoltre i tuoi clienti probabilmente non dovranno farti causa per essere violati, il che è sempre bello.

Il pentesting è di solito fatto da società di consulenza sulla sicurezza, ma raccomandare aziende specifiche è al di fuori dello scopo di questo sito - non c'è una risposta, ed è in gran parte dipendente dal punto di vista geografico.

Se stai parlando di questo in modo da poter aggiungere un grande banner al sito dicendo "siamo sicuri!", penso che faresti molto meglio a dimenticare le certificazioni e concentrarti solo sull'essere trasparenti. Fornire dettagli su come si fa la propria sicurezza (ad es. Meccanismo di memorizzazione password, politiche di recupero dell'account, ecc.) È l'ultima forma di rassicurazione per un utente, perché mostra che si è sicuri di dare quell'informazione e consente peer review.

    
risposta data 30.04.2013 - 16:45
fonte
3

Il certificato più valido è un certificato SSL. Scherzi a parte, questa è una domanda che merita la risposta universale ... Dipende. Specificamente in questo caso, dipende da chi è il tuo target di riferimento. Molte grandi aziende vogliono vedere la certificazione ISO 27001. Se scegli come target l'e-commerce, vorranno vedere la certificazione PCI. Assistenza sanitaria negli Stati Uniti, certificazione HIPAA. Entità governative degli Stati Uniti, conformità FISMA. Altri tipi di organizzazioni in altre aree geografiche, e potrebbe essere qualcos'altro interamente.

Quindi, piuttosto che bollire l'oceano, cercherò di concentrarmi su chi intendi il tuo mercato iniziale, e capire quale certificazione (se esiste) è importante per quelle persone, e preoccuparti di ciò.

    
risposta data 30.04.2013 - 16:45
fonte
1

Non ci sono certificati che io conosca per convalidare un'applicazione web ma piuttosto certifica processi per es. potresti avere il tuo ciclo di sviluppo certificato ISO 27001. Potresti anche seguire OWASP per assicurarti di eseguire gli appropriati test di vulnerabilità e aderire a un ciclo di vita sicuro dello sviluppo.

Dato che stai fornendo un SaaS, potresti passare attraverso la Cloud Controls Matrix di Cloud Security Alliance e inviare le tue risposte al loro registro STAR (sicurezza, fiducia e affidabilità). Puoi esaminare altre risposte dei fornitori SaaS per assistenza nel processo.

Ci sono molte organizzazioni che eseguono test di penetrazione - cercano di ottenere tester con certificazioni riconosciute (CREST, CHECK, Offensive Security ecc.)

Un'altra cosa che puoi fare è eseguire un'analisi statica o automatizzata sul tuo codice e farlo presente sul tuo sito in una sezione di sicurezza per mostrare la sicurezza progressiva per tuo conto.

    
risposta data 30.04.2013 - 16:47
fonte

Leggi altre domande sui tag