¿Cuánta información de seguridad debe publicarse?

Navega tus respuestas
4

Le pido disculpas si está en la sección incorrecta, no estoy seguro de si debería fallar en Server Fault o no.

Me estoy preparando para lanzar una nueva aplicación web. Hemos puesto mucho esfuerzo en ofrecer una buena seguridad. Desde la perspectiva de las relaciones públicas, debo mencionar algo de lo que estamos haciendo: la seguridad es una parte fundamental y un punto de venta de este proyecto y se esperan detalles.

Entonces, mi pregunta es, ¿cuánto damos sin comprometer nuestra seguridad? ¿Explota sobre fw / proxies, nids, hids, honeyd, arquitectura compartimentada y watchdogs, etc., o simplemente "somos compatibles con PCI"?

Debo señalar que un buen número de usuarios, especialmente las puertas iniciales, estarán conscientes de la seguridad y estarán informados; ¿Ser "compatible con PCI" lo corta?

    
pregunta Paul 15.12.2013 - 18:10
fuente

2 respuestas

6

Concéntrese menos en dar un informe de seguridad detallado y más en responder las posibles preguntas del usuario.

Si su aplicación usa TLS para comunicarse con los servidores, eso es un punto clave para su página de seguridad. Si hash tus contraseñas con pbkdf2, hay otra. Si almacena una copia de seguridad de las credenciales de usuario en un servidor alojado con Amazon en la zona us-east-1a ... ok, probablemente pueda ver por qué ese detalle no responde realmente a las preguntas de sus usuarios, sino que solo proporciona información de ataques. / p>

Con conformidad PCI; Si acepta tarjetas de crédito, se asume que cumple con PCI. Y de todos modos, PCI se trata de proteger las tarjetas de crédito, no los usuarios. Visa se preocupa por si almacena CVV2s, no por si vende números de teléfono de clientes en foros rusos. Existe una gran diferencia entre el verdadero robo de identidad y el robo de números de tarjetas de crédito, y la industria de tarjetas de pago solo es responsable financieramente de este último.

En su lugar, es posible que desee señalar ciertos aspectos de las pruebas de cumplimiento de PCI que serían relevantes para los usuarios. "Prácticas de seguridad e infraestructura auditadas rigurosamente por [ nombre de la empresa ]".

    
respondido por el tylerl 15.12.2013 - 21:05
fuente
5

Recomiendo describir algunas de las medidas que usa sin entrar en detalles precisos. Definitivamente evite cualquier mención de temas semi-snakeoil como "cifrado de grado militar". Es probable que una declaración de cumplimiento de PCI proporcione un nivel de comodidad al menos que haya analizado los aspectos básicos, pero que no satisfaga a los clientes muy sensibles a la seguridad.

Hasta cierto punto, el problema con la descripción de las tecnologías de seguridad que utiliza es que hay una diferencia entre implementar FW / IDS / IPS / etc y desplegarlos de manera efectiva ..

Como resultado, si es posible, proporcionar evidencia de revisión externa es una opción para mejorar las percepciones de las personas. Por ejemplo, decir que tiene revisiones de seguridad externas de sus sistemas completadas regularmente que cubren las áreas "x" sería un paso positivo.

También puede publicar información de nivel de resumen ejecutivo de sus revisiones de terceros. Algunas consultoras cobrarán más por esto (porque si su nombre está en un informe publicado, su reputación está parcialmente en juego), pero podría (si el alcance y la profundidad de la evaluación son correctos) dar a los clientes la seguridad de que no es solo lo que usted dice. que tan buena es tu seguridad :)

    
respondido por el Rоry McCune 15.12.2013 - 19:31
fuente

Lea otras preguntas en las etiquetas

Inyección de SQL a través de Unicode ¿Tiene sentido cambiar la contraseña de LUKS cada 90 días?