¿Cuál es la mejor manera de obtener una auditoría de terceros sobre la seguridad del sitio web?

Navega tus respuestas
2

Tengo un sitio web que debe ser compatible con PCI. Lo he codificado siguiendo las pautas, pero para estar seguro, quería que se realizara una auditoría de terceros donde esta persona que dirige una empresa de seguridad de TI y hace proyectos individuales mirará el código fuente y también realizará pruebas de penetración, etc.

Ahora, si bien me hará sentir cómodo que alguien que esté bien versado con él esté escaneando el sitio y haciendo los cambios necesarios si es necesario, pero me siento incómodo con el hecho de que esa persona sepa cómo codificamos las cosas como procesamos las cosas

Ahora tengo dos opciones, o le dejo probar el sitio en nuestro sitio web para el que lo necesitamos o lo muevo a otro dominio y lo llamo de otra manera. Pero también quiero que firme un acuerdo de NDA que tendrá que tener el nombre de mi compañía. ¿Así que estoy algo perdido?

¿Cómo se permiten las auditorías de terceros sin ser vulnerables a ellas?

    
pregunta Sam Khan 18.03.2012 - 02:32
fuente

3 respuestas

9

Me haré eco de lo que las otras respuestas han dicho en que lo que estás describiendo es un proceso de revisión de seguridad bastante estándar y si lo haces correctamente, no deberías tener mucho de qué preocuparte en términos de la compañía de auditoría que tiene acceso a tu datos.

Un par de puntos que pueden ser de utilidad

  • Al elegir la compañía si hay organismos de la industria bien conocidos, podría considerar la posibilidad de utilizar un proveedor acreditado (por ejemplo, en el Reino Unido hay CREST ). como @ D.W. dice, las empresas de prueba son organizaciones profesionales e incluso una acusación de mal uso de los datos de los clientes sería mala para ellos, por lo que espero que la mayoría tenga mucho cuidado con ese aspecto de las cosas.
  • Los contratos y las NDA deben estar establecidos entre sus compañías. Parte de eso incluiría, por supuesto, el requisito de que no usen mal los datos de la prueba.
  • Un punto que mencionó sobre la empresa de auditoría que realiza cambios en su sitio. Por lo general, una empresa de pruebas de seguridad solo informaría los resultados y haría recomendaciones para el cambio en lugar de alterar realmente un sistema en vivo, y diría que es un buen enfoque. La compañía de auditoría no tendrá un conocimiento completo de sus sistemas, por lo que podría ser riesgoso para ellos hacer cambios en ellos.
respondido por el Rоry McCune 18.03.2012 - 10:07
fuente
4

Creo que tus miedos son exagerados. Mi recomendación es elegir un auditor externo en el que confíe y darles acceso completo a su sitio (su código, todo). Claro, haz que firmen un acuerdo de confidencialidad, eso es completamente razonable. Pero sé realista: no van a robar tu IP. Son profesionales, y su carrera y su negocio dependen de la confianza; estarían locos por robar la propiedad intelectual de una persona. Y, lo más probable es que, de todos modos, el código de su sitio no valga mucho para nadie. No es necesario intentar ocultar el nombre de su empresa, mover su dominio o limitar su acceso a su sitio y su código.

    
respondido por el D.W. 18.03.2012 - 05:55
fuente
3

Para una prueba de penetración / evaluación de seguridad precisa y una revisión del código, se debe conocer el contexto del sitio web y ayudará a identificar cuáles pueden ser las vulnerabilidades. Si no está abierto con estos detalles, es posible que la evaluación no encuentre todo.

Promuévelo

Pasar por una evaluación de seguridad no es nada de qué avergonzarse, es una práctica estándar y promovido como algo positivo por muchas empresas. Es más importante lo que haces con los resultados.

Confidencialidad

Tiene razón y querrá que firmen una escritura de confidencialidad, acuerdo de no divulgación (NDA) u otro contrato. La mayoría de las firmas de seguridad acreditadas se toman esto muy en serio, sin embargo, si está preocupado, debe indicar en el contrato cómo se manejarán la información y el informe. Como el informe y los datos recopilados no está permitido abandonar su sitio.

Utilice una versión de prueba pero completamente funcional

Una evaluación de seguridad puede hacer que un sitio web se caiga o se rompa la funcionalidad según las vulnerabilidades encontradas (siempre hay algo). Le sugiero que tenga un sitio de prueba con datos de muestra / prueba que configuró lo más cerca posible al real.

Espero que esto ayude.

    
respondido por el Bernie White 18.03.2012 - 06:03
fuente

Lea otras preguntas en las etiquetas

Aclaración en un correo electrónico sobre una violación de seguridad Tratar con administradores no confiables en un dominio de Windows