我们应该与客户分享多少关于我们的安全和渗透测试的信息？

Question

我们有一个运行在Microsoft上的B2B Saas服务。微软发布了很多关于Azure安全的信息，但偶尔客户会问我们在我们自己的软件上进行的安全测试和审核，而不是微软的平台。

我们在这里应该遵循什么好的做法？仅仅说我们定期让认证的独立专家对我们的系统进行测试是否足够？或者我们应该提供更多的细节--如果是这样的话，我们应该提供到哪个层次？

Answer 1

这将根据您的业务和您与客户的透明度而有所不同。大多数公司对他们的应用程序进行测试，并与客户分享他们已经测试过的标准，而不是测试的“逐步”。

例如，假设您有一个web应用程序，您可以向您的客户提及您的应用程序是通过OWASP web应用标准进行测试的。这应该足以满足大多数客户的需求。

如果你处理敏感信息，你可能需要在一些法规中获得认证。例如，如果您处理信用卡信息，您需要PCI认证.一旦您获得了这个认证，您只需要向您的客户证明您通过了PCI，但您不一定需要描述每一个测试已经完成。

Answer 2

大多数较大的客户将使用云安全联盟等组织的人工制品来评估合同(以及您的安全能力)。因此，值得投入一些投资，为共识评估倡议调查表中的问题提供一个好的答案--这不仅会让你保持正确，而且在与客户签订新合同时也将是一个很有价值的销售工具。

当然，还有其他标准可以应用，CSA是我见过最多的标准。