Normas / certificados de seguridad de aplicaciones web

Realmente no hay "certificaciones" para aplicaciones web. Lo más cercano que puedo pensar es en PCI-DSS, pero el lado de la aplicación web es mínimo: se aplica en gran medida a todos los procesos de infraestructura y de negocios, y se centra principalmente en los pagos con tarjeta.

Si está buscando específicamente certificaciones, entonces los certificados de desarrollo de aplicaciones web pueden ser una buena opción para un desarrollador . Tenga en cuenta que se aplican a la persona que realiza el desarrollo, no a la aplicación. Algunas de las cosas para las que puede obtener la certificación son: Microsoft SDL y GIAC GSSP (hay una .NET one).

En términos de mantenimiento de la seguridad en un sitio, por lo general, una organización profesional debe aplacar el sitio, revisar los problemas de seguridad y luego solucionarlos. Realmente no obtienes ningún certificado mágico brillante por hacer esto, pero puedes disfrutar del agradable y cálido brillo de saber que tomaste en serio la seguridad. Además, es probable que sus clientes no tengan que demandarlo por incumplimiento, lo cual siempre es bueno.

Las empresas de consultoría de seguridad suelen realizar el pentesting, pero recomendar empresas específicas está fuera del alcance de este sitio, no hay una respuesta y depende en gran medida geográficamente.

Si está haciendo esto para poder agregar una gran pancarta al sitio que diga "¡estamos seguros!", creo que sería mucho mejor olvidarse de las certificaciones y concentrarse en ser transparente. Dar detalles sobre cómo hace su seguridad (por ejemplo, mecanismo de almacenamiento de contraseñas, políticas de recuperación de cuentas, etc.) es la mejor forma de tranquilizar a un usuario, porque muestra que está seguro de enoguh para proporcionar esa información, y permite revisión por pares.

El certificado más valioso es un certificado SSL. Bromas aparte, esta es una pregunta que merece la respuesta universal ... Depende. Específicamente en este caso, depende de quién es su público objetivo. Muchas grandes empresas quieren ver la certificación ISO 27001. Si está apuntando al comercio electrónico, querrán ver la certificación PCI. Cuidado de la salud en los EE.UU., certificación HIPAA. Entidades del gobierno de los Estados Unidos, cumplimiento FISMA. Otros tipos de organizaciones en otras áreas geográficas, y podría ser algo completamente distinto.

Así que, en lugar de hervir el océano, trataría de centrarme en a quién va a ser su mercado inicial, y averiguar qué certificación (si existe) le importa a esa gente, y preocuparse por eso.

No conozco certificados para validar una aplicación web, sino certificados para procesos, por ejemplo. puede certificar su ciclo de desarrollo según ISO 27001. También puede seguir a OWASP para asegurarse de que realiza las pruebas de vulnerabilidad adecuadas y se adhiere a un ciclo de vida de desarrollo seguro.

Mientras proporciona un SaaS, puede pasar por la matriz de controles de la nube de Cloud Security Alliance y enviar sus respuestas a su registro STAR (registro de seguridad, confianza y garantía). Puede revisar las respuestas de otros proveedores de SaaS para obtener asistencia en el proceso.

Hay muchas organizaciones que realizan pruebas de penetración: intente obtener probadores con certificaciones reconocidas (CREST, CHECK, Ofensive Security, etc.).

Otra cosa que puede hacer es realizar un análisis estático o automatizado en su código y tenerlo establecido en su sitio en una sección de seguridad para mostrar seguridad progresiva en su nombre.