Hay varios enfoques populares para esto.
Primero, es conseguir que un auditor externo e independiente responda por usted. Esto es más efectivo si se hace con un nombre conocido (por ejemplo, haga que Troy Hunt responda por usted, o Charlie Miller si está en el sistema operativo de Apple), o un nombre familiar enorme (si su mercado objetivo no es técnico / gente no segura) - por ejemplo, E & Y, o Accenture.
Llevando esto un paso más allá, puede obtener la acreditación de un reglamento o certificación de terceros. Este es posiblemente el más popular, y es probable que IMO sea el menos efectivo.
Esto podría ir desde PCI-DSS (que tendría que hacer de todos modos si maneja tarjetas de crédito), hasta el infame "HackerSafe" (creo que ahora se llama "McAfeeSECURE !! 1!"). De cualquier manera, en realidad no muestra ninguna calidad real, y en algunos casos es fácil de falsificar. tos tos
Hay una tercera opción, que es mucho más difícil de hacer bien, pero mucho más efectiva, particularmente con aquellos que más entienden lo que esto significa. Esta opción requiere dos pasos:
- En realidad, estar seguro y tener un proceso sólido para asegurar esto;
- Compartir detalles de ese proceso y lo que realmente implica.
Estar seguro es una pregunta mucho más amplia y está fuera del alcance de esta respuesta; Es obvio que compartir los detalles es mucho menos común en las grandes empresas, aunque estoy empezando a ver esto en más empresas nuevas e incluso en empresas más grandes, pero técnicas.
Esto podría incluir información sobre su SDLC; explicaciones de sus requisitos de seguridad; detalles técnicos sobre su implementación; posiblemente una recompensa de errores abierta, pero al menos una declaración de respuesta a los investigadores ( y siga adelante! ); tal vez incluso abre tu base de código, si es relevante; Y así sucesivamente y así sucesivamente.
Obviamente, necesitaría un experto en seguridad con experiencia para ayudarlo a que su aplicación sea segura; Una muy buena podría ayudarlo a "abrir el kimono" de manera productiva y segura. Hecho bien, esto podría incluso aumentar los esfuerzos de marketing, y aún así no revelar ningún detalle sensible que podría ayudar a un atacante a pasar por alto sus controles.
A menudo, los profesionales de seguridad de la vieja escuela (especialmente aquellos con antecedentes corporativos) insistirán en no revelar nada; pero no solo esto no debería aumentar el riesgo o la superficie de ataque (si se hace correctamente), definitivamente puede ayudar a disipar los posibles temores o preocupaciones de los clientes, especialmente si entienden lo que están leyendo.
Solo asegúrate de tener a alguien que sepa lo que están haciendo.