Verkkopalvelun tietoturvasertifikaatti
Tehokas tapa varmentaa ja osoittaa verkkopalvelun tietoturvan taso
Verkkopalvelulle tietoturvasertifikaatti
Ohjelmistoyrittäjät ry yhteistyössä tietoturvayhtiö Second Nature Security Oy (2NS) kanssa tarjoama tietoturvalausunto tarjoaa organisaatioille tehokkaan tavan varmentaa verkkopalvelun turvallisuus ja myös osoittaa se asiakkaille ja muille kumppaneille.
Ohjelmistoyrittäjien tietoturvalausunto tuo ratkaisun EU:n GDPR:n (tietosuoja-asetuksen) osoitusvelvollisuuden täyttämiseen sovellusturvallisuuden osalta.
Open Web Application Security Project (OWASP) Application Security Verification Standard (ASVS) viitekehyksen avulla kyetään kätevästi osoittamaan, että sovelluksen kehittämisessä on tietoturva huomioitu alan parhaiden käytäntöjen mukaisesti.
Ohjelmistoyrittäjien tietoturvaohjelmassa varmennetaan verkkopalvelun tietoturva OWASP ASVS –viitekehyksen vaatimusten mukaisesti. OWASP ASVS on laajasti käytetty viitekehys, jota käytetään kansainvälisesti tarjouspyynnöissä tietoturvavaatimusten esittämiseen. Tietoturvalausunnon avulla organisaatiot pystyvät helposti osoittamaan toteuttavansa OWASP ASVS:n tuomat vaatimukset.
OWASP – ASVS
- OWASP ASVS:n tarkoitus on normalisoida verkkopalveluiden tietoturvatestauksen vaatimukset globaalisti tunnetuksi ja ymmärrettäväksi.
- OWASP ASVS on laajasti käytetty viitekehys, jota käytetään mm. kansainvälisesti tarjouspyynnöissä tietoturvavaatimusten esittämiseen.
- OWASP ASVS pohjautuvalla tietoturvalausunnon avulla organisaatiot pystyvät helposti osoittamaan verkkopalvelunsa tietoturvan tason.
- OWASP ASVS kriteeristöt ovat julkiset ja kansainvälisesti tunnustetut.
Sertifiointiprosessi
1. Aloitustyöpaja – tarkastellaan sovelluksen/järjestelmän arkkitehtuuri ja rakenne
2. Tietoturvatestaus valitun tason mukaisesti
3. Raportti havainnoista ja korjausehdotukset
4. Korjausten valmistuttua, korjaustoimenpiteiden verifiointi
5. Loppuraportti ja sertifikaatti suoritetusta tarkastuksesta
“Tästä ei luovuta mistään syystä” – Tietoturvasertifikaatti toi Granitelle kiistattoman kilpailuedun, jolla on helppo erottua.
Sertifikaatit
Sertifiointi sisältää jokaisella tasolla asiakkaan kanssa pidettävän työpajan, jossa tarkastellaan sovelluksen arkkitehtuuria ja rakennetta. Tämän jälkeen järjestelmälle tehdään tekninen tietoturvatestaus. Kun työssä tehdyt havainnot ovat korjattu, niin asiakas saa lopputuloksena raportin sekä sertifikaatin suoritetusta tarkastuksesta.
Sertifiointi koostuu kolmesta eri syvyystasosta, joista sopiva taso valitaan sovelluksen sisältämän tietosisällön sekä liiketoimintakriittisyyden mukaan.
OWASP ASVS:n mukaisessa auditoinnissa kullekin palvelulle sopiva taso valitaan palvelun liiketoimintakriittisyyden kasvaessa edellä kuvatun mukaisesti.
OWASP ASVS:n mukaisessa auditoinnissa lopputuloksen laatu ja tulokset paranevat tason kasvaessa. Tämä johtuu siitä, että tasolla 3 tehdään syvällisempää sekä laajempaa tarkastelua ja analyysia ja tämän vuoksi haavoittuvuuksia kyetään löytämään paremmin kuin tasolla 1. Lisäksi tasoilla 2 ja 3 tutkitaan haavoittuvuuksia myös lähdekoodia katselmoimalla sekä pureudutaan varmentamaan hyökkäyksiä torjuvia toiminnallisuuksia. Lisäksi tason 3 arkkitehtuurityöpaja pidetään kattavampana (käytetään enemmän aikaa), kuin tasolla 1.
Taso 3
Palvelun syvällinen arkkitehtuurin katselmointi työpajassa sekä palvelun syvällinen tietoturvatestaus käyttäjän näkökulmasta. Lisäksi syvällisempi lähdekoodin katselmointi sekä aktiivista hyökkäystä torjuvien ja havaitsevien toiminnallisuuksien varmentaminen.
Hinta tyypillisesti: 13 900 € + korjausten verifiointi
Taso 2
Palvelun syvällisempi arkkitehtuurin katselmointi työpajassa sekä palvelun syvällisempi tietoturvatestaus käyttäjän näkökulmasta. Lisäksi lähdekoodia katselmoidaan tietoturvanäkökulmasta soveltuvin osin.
Hinta tyypillisesti: 9 900 € + korjausten verifiointi
Taso 1
Palvelun rajattu arkkitehtuurin katselmointi työpajassa sekä palvelun tietoturvatestaus käyttäjän näkökulmasta.
Hinta tyypillisesti: 7 900 € + korjausten verifiointi
Ohjelmistoyrittäjät ja 2NS varaavat oikeuden arvioida hinta ja työmäärä tapauskohtaisesti, mikäli kohde tätä vaatii esim. ominaisuuksiensa / laajuutensa johdosta. Lopullisesta hinnasta ja työmäärästä sovitaan yhdessä asiakkaan kanssa.