¿Cuánta información sobre nuestras Pruebas de Seguridad y Penetración debemos compartir con los clientes?

Question

¿Cuánta información sobre nuestras Pruebas de Seguridad y Penetración debemos compartir con los clientes?

#1 de Ricardo Reimao (5 votos)
#2 de Callum Wilson (0 votos)

4

Tenemos un servicio B2B Saas que se ejecuta en Microsoft Azure. Microsoft publica mucha información sobre la seguridad de Azure, pero ocasionalmente los clientes nos preguntan sobre las pruebas de seguridad y las auditorías que se han realizado en nuestro propio software, en lugar de la plataforma de Microsoft en general.

¿Qué buenas prácticas debemos seguir aquí? ¿Es suficiente decir que regularmente tenemos nuestros sistemas probados por especialistas independientes certificados? ¿O deberíamos proporcionar más detalles? En caso afirmativo, ¿a qué nivel?

penetration-test azure saas

pregunta rpg II 06.03.2017 - 13:26

fuente

2 respuestas

Lea otras preguntas en las etiquetas penetration-test azure saas

LM (Administrador de LAN) Hash - Error de fuerza bruta ¿Cómo configurar un algoritmo de hashing de contraseña extremadamente débil para Linux?

score 5 · Answer 1

Esto variará según su negocio y la transparencia que tenga con sus clientes. La mayoría de las empresas realizan pruebas en su aplicación y comparten con los clientes los estándares con los que se han probado, pero no el "paso a paso" de la prueba.

Por ejemplo, digamos que tiene una aplicación web, puede mencionar a sus clientes que su aplicación se probó con el Estándares de aplicaciones web OWASP . Eso debería ser suficiente para satisfacer a la mayoría de los clientes.

Si trata con información confidencial, es posible que deba obtener la certificación en algunos reglamentos. Por ejemplo, si trata con información de tarjetas de crédito, necesita estar certificado por PCI. Una vez que obtenga esta certificación, solo tiene que comprobar a sus clientes que pasó el PCI, pero no necesariamente tiene que describir cada prueba realizada.

score 0 · Answer 2

La mayoría de los clientes más grandes evaluarán el contrato (y su capacidad de seguridad) utilizando artefactos de organizaciones como Cloud Security Alliance . Por lo tanto, vale la pena invertir en tener buenas respuestas para las preguntas en la Iniciativa de evaluaciones de consenso Cuestionario (CAIQ): esto no solo lo mantendrá en lo correcto, sino que también será una valiosa herramienta de ventas cuando se firmen nuevos contratos con clientes.

Hay otras normas que puedes aplicar, por supuesto, CSA es la que más he visto.