Le azioni descritte negli standard di sicurezza (come ISO 27002, PCI-DSS, HIPAA, Common Criteria) variano in base ai dati del dominio che memorizzano, elaborano, trasmettono e riportano.
Abbiamo un prodotto che raccoglie le metriche da luminari abilitati alla rete / wifi (dispositivo di illuminazione) e crea dati di analisi per analisi di tendenza o calcoli di efficienza energetica. Qual è lo standard di sicurezza minimo che il prodotto deve soddisfare? Ha un modulo di rilevamento dei dispositivi, aggregazione dei dati e un'applicazione web di segnalazione ospitata nel cloud e i dati passano dalla piattaforma enterprise a quella cloud.
Sto pensando almeno a OWASP 10, ma poi le sue linee guida piuttosto non standard sui controlli di sicurezza per l'applicazione web.