Etiquetado: 

Mostrando 1 respuesta al debate
  • Autor
    Publicaciones
    • #51496
      AvatarMarcia
      Participante

      Hola,
      Tengo una duda con este curso. Nosotos lo estamos viendo enfocado en OWASP, es decir, curso de desarrollo seguro tomando en cuenta el top ten de OWASP.
      La duda que tengo es ¿es necesario que este curso sea impartido por algún organismo oficial? o bien podría ser que oficialmente se capacite una o 2 personas y luego estas mismas capaciten al resto de la organización (área de desarrollo)?
      O puede todo el equipo autocapacitarse en el top ten de OWASP?

      Gracias
      Slds
      M

    • #51544
      David AcostaDavid Acosta
      Participante

      Hola Marcia:
      Desde la perspectiva de PCI DSS, no es obligatorio que la formación a desarrolladores (req. 6.5) sea impartida por un organismo en particular. De hecho, en el mismo requerimiento en la columna «Guía» indica: La capacitación de los desarrolladores puede estar a cargo de personal de la empresa o de terceros y debe ser pertinente a la tecnología utilizada.
      Siendo así, la formación puede ser impartida por una empresa especializada (online o presencial) o incluso por personal interno si se encuentra debidamente entrenado. Mi sugerencia es que si vas a emplear OWASP Top 10 como referencia, lo hagas alineado con el lenguaje de programación que uséis, para que tanto las vulnerabilidades como las contramedidas analizadas apliquen a vuestro entorno.
      Finalmente, hay que tener en cuenta que para evidenciar que este requerimiento ha sido cubierto es necesario tener a mano el material y cualquier documentación que permita comprobar que los desarrolladores han participado del curso (listas de asistencia, por ejemplo).
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.