Qual è il modo migliore per fare un audit di terze parti sulla sicurezza del sito web?

Naviga le tue risposte
2

Ho un sito Web che deve essere conforme PCI. L'ho codificato usando le linee guida ma per essere sicuro volevo fare un audit di terze parti in cui questo individuo che gestisce un'azienda di sicurezza IT e fa progetti individuali guarderà il codice sorgente e farà anche test di penetrazione, ecc.

Ora, mentre mi farà sentire a mio agio che qualcuno che è esperto conoscerà il sito e apporta le modifiche necessarie, se necessario, ma sono a disagio nel fatto che quella persona saprà come codifichiamo le cose e come elaboriamo le cose

Ora ho due opzioni, o gli permetto di testare il sito sul nostro sito Web di cui abbiamo bisogno o sposto il sito in un altro dominio e lo chiamo qualcos'altro. Ma voglio anche che firmi un accordo NDA che dovrà poi avere il nome della mia compagnia. Quindi sono un po 'perso?

In che modo consentire gli audit di terze parti senza essere vulnerabili a loro?

    
posta Sam Khan 18.03.2012 - 02:32
fonte

3 risposte

9

Vorrei echeggiare ciò che le altre risposte hanno detto in quanto ciò che stai descrivendo è un processo di revisione della sicurezza abbastanza standard e, se fatto correttamente, non dovresti avere molto di cui preoccuparti in quanto la società di revisione ha accesso al tuo i dati.

Un paio di punti che potrebbero essere utili

  • Scegliendo l'azienda se ci sono enti noti del settore, potresti considerare l'utilizzo di un fornitore accreditato (ad esempio, nel Regno Unito c'è CREST ). come @ D.W. Dice che le società di test sono organizzazioni professionali e anche un'accusa di utilizzo improprio dei dati dei clienti sarebbe un male per loro, quindi mi aspetterei che la maggior parte prestasse molta attenzione a questo aspetto.
  • Contratti e NDA dovrebbero essere in vigore tra le tue aziende. Una parte di ciò includerebbe ovviamente l'obbligo di non utilizzare in modo improprio alcun dato dal test.
  • Un punto che hai menzionato sulla società di revisione che ha apportato modifiche al tuo sito. Di solito una società di test di sicurezza dovrebbe solo segnalare i risultati e formulare raccomandazioni per il cambiamento piuttosto che alterare effettivamente un sistema live, e direi che è un buon approccio. La società di revisione non avrà una conoscenza completa dei tuoi sistemi, quindi potrebbe essere rischioso per loro di apportare modifiche a loro.
risposta data 18.03.2012 - 10:07
fonte
4

Penso che le tue paure siano esagerate. La mia raccomandazione è di scegliere un auditor di terze parti di cui ti fidi e dare loro pieno accesso al tuo sito (il tuo codice, tutto). Certo, fagli firmare una NDA, è assolutamente ragionevole. Ma sii realistico: non hanno intenzione di rubare il tuo IP. Sono professionisti e la loro carriera e il loro business dipendono dalla fiducia; sarebbero pazzi per rubare l'IP di una persona. E, odds, il codice del tuo sito non vale comunque la pena per nessuno. Non è necessario cercare di nascondere il nome della tua azienda, spostare il tuo dominio o limitare il loro accesso al tuo sito e al tuo codice.

    
risposta data 18.03.2012 - 05:55
fonte
3

Per un accurato test di penetrazione / valutazione della sicurezza e revisione del codice, è necessario conoscere il contesto del sito Web e aiutare a identificare quali potrebbero essere le vulnerabilità. Se non sei aperto con questi dettagli la valutazione potrebbe non trovare tutto.

Promuovilo

Passare attraverso una valutazione di sicurezza non è qualcosa di cui vergognarsi, è una pratica standard e promossa come un positivo da molte aziende. È più importante ciò che fai con i risultati.

Riservatezza

Hai ragione di voler firmare un atto di riservatezza, accordo di non divulgazione (NDA) o altro contratto. La maggior parte delle società di sicurezza affidabili lo prendono molto sul serio, tuttavia se si è preoccupati, è necessario indicare nel contratto come verranno gestite le informazioni e il rapporto. Ad esempio il rapporto e tutti i dati raccolti non sono autorizzati a lasciare il tuo sito.

Utilizza un test ma versione completamente funzionale

Una valutazione della sicurezza può portare a un sito web inattivo o interrompere la funzionalità a seconda di quali vulnerabilità sono state rilevate (c'è sempre qualcosa). Ti suggerisco di avere un sito di test con dati di esempio / test che ha configurato il più vicino possibile a quello reale.

Spero che questo aiuti.

    
risposta data 18.03.2012 - 06:03
fonte

Leggi altre domande sui tag

È possibile eseguire il sale della funzione hash SHA1 o SHA256 di OpenSSL? Problemi di sicurezza con gli account di posta elettronica