<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>I approve.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> owasp-board-bounces@lists.owasp.org [mailto:owasp-board-bounces@lists.owasp.org] <b>On Behalf Of </b>Sarah Baso<br><b>Sent:</b> Tuesday, November 05, 2013 2:52 AM<br><b>To:</b> OWASP Foundation Board List<br><b>Subject:</b> Re: [Owasp-board] [Governance] Conflict of Interest Policy - VOTE requested<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><div><p class=MsoNormal>Policy passes - Here are the votes I have for the record:<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Yes - Michael, Seba, Jim, Tom, and Eoin.  <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Dave, please let me know if you would like me to add a vote to the record.  <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Sarah<o:p></o:p></p></div></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Sun, Nov 3, 2013 at 4:23 PM, Sarah Baso <<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>> wrote:<o:p></o:p></p><div><p class=MsoNormal>Board members -<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>So far I have a yes from Michael, Seba, and Jim. Can the three of you re-acknowledge your vote since there were a few small modifications based on Josh's recommendations?<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Eoin/Dave/Tom - A vote from you is kindly requested.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Regards,<o:p></o:p></p></div><div><p class=MsoNormal>Sarah<o:p></o:p></p></div><div><div><div><p class=MsoNormal><o:p> </o:p></p><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Sun, Nov 3, 2013 at 4:21 PM, Sarah Baso <<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>> wrote:<o:p></o:p></p><div><p class=MsoNormal>Josh -<o:p></o:p></p><div><p class=MsoNormal>Thank you for the thoughtful review and comments. <o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>1. I have revised and added the clarification <o:p></o:p></p></div><div><p class=MsoNormal>"<span style='font-family:"Arial","sans-serif"'>Each member of the board of directors and employees of the Foundation has a duty of loyalty to the Foundation.  The duty of loyalty generally requires a director or employee to prefer the interests of the Foundation over the director’s/employee’s interest or the interests of others when <span style='background:yellow'>making decisions affecting the organization</span>."</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Arial","sans-serif"'>2. I think it is impractical to think all the possible violations and possible ramifications for different situations and this will likely be on a case by case basis. I have revised to include the most severe consequences though.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Arial","sans-serif"'>If, after hearing the member’s response and after making further investigation as warranted by the circumstances, the governing board or committee determines the member has failed to disclose an actual or possible conflict of interest, it shall take appropriate disciplinary and corrective action.<span style='background:yellow'> The violation of this Conflicts of Interest policy is a serious matter and <b>may </b>constitute "cause" for removal from the Board, termination of employment, and/or  the termination of any contractual relationship the Foundation may have with an Interested Person or other party.</span></span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Arial","sans-serif"'>3. I have added a statement about third party disclosure - the determination of whether the disclosure exists, procedures for addressing a conflict, and violation for failure to disclose should apply the same.</span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal><span style='font-family:"Arial","sans-serif";background:yellow'>Board members, employees, community members, or other third parties are encouraged to notify the board any any undisclosed financial interest or other conflict of interest by a board member or employee including material facts supporting the conflict. </span><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Regards, <o:p></o:p></p></div><div><p class=MsoNormal><span style='color:#888888'>Sarah<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='color:#888888'><o:p> </o:p></span></p></div></div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Thu, Oct 31, 2013 at 12:39 PM, Josh Sokol <<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>> wrote:<o:p></o:p></p><div><div><div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'>I've got a couple of comments on this policy:<br><br>1) "Each member of the board of directors and employees of the Foundation has a duty of loyalty to the Foundation.  The duty of loyalty generally requires a director or employee to prefer the interests of the Foundation over the director’s/employee’s interest or the interests of others."<o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>Is it reasonable to assume that a Director should prefer the interests of the Foundation over any other interests?  Personally, I don't think so, and it really shouldn't matter as far as this document goes.  The idea is to expose and isolate these conflicts so that they do not affect our decisions, not to tell people to whom their loyalties should lie.<br><br>2) "If, after hearing the member’s response and after making further investigation as warranted by the circumstances, the governing board or committee determines the member has failed to disclose an actual or possible conflict of interest, it shall take appropriate disciplinary and corrective action."<o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>What is an "appropriate disciplinary and corrective action"?  Removal from the meeting?  From the Board?  Spankings?  I don't think that we should leave this as vague as it currently is.<o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>3) While the document does a good job of addressing self-disclosure of a conflict of interest, I don't think I saw anywhere in it where it specifies the process for a third-party disclosure.  If I think that Jim has a conflict on a vote, but he has not disclosed it, what is the proper channel for me to disclose that?  How is that handled?<o:p></o:p></p></div><p class=MsoNormal style='margin-bottom:12.0pt'>Thanks!<o:p></o:p></p></div><p class=MsoNormal><span style='color:#888888'>~josh</span><o:p></o:p></p></div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Thu, Oct 31, 2013 at 11:52 AM, Eoin Keary <<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>> wrote:<o:p></o:p></p><div><div><p class=MsoNormal>No it's in ref to the grants.<o:p></o:p></p></div><div><div><p class=MsoNormal><br>Eoin Keary<o:p></o:p></p><div><p class=MsoNormal>Owasp Global Board<o:p></o:p></p></div><div><p class=MsoNormal><a href="tel:%2B353%2087%20977%202988" target="_blank">+353 87 977 2988</a><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div></div><div><div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>On 31 Oct 2013, at 15:07, Sarah Baso <<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>> wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal>Eoin- is this in reference to the conflict of interest policy? If not can you try to keep the discussion on the applicable thread?<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Thanks<br><br>Sarah Baso<o:p></o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>On Oct 31, 2013, at 2:13 AM, Eoin Keary <<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>> wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal>Question:<o:p></o:p></p></div><div><p class=MsoNormal>If a project has funding but is terminated have we documented what happens in such edge cases?<o:p></o:p></p></div><div><p class=MsoNormal>If a project has surplus funding what happens also?<o:p></o:p></p></div><div><p class=MsoNormal><br><br>Eoin Keary<o:p></o:p></p><div><p class=MsoNormal>Owasp Global Board<o:p></o:p></p></div><div><p class=MsoNormal><a href="tel:%2B353%2087%20977%202988" target="_blank">+353 87 977 2988</a><o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><br>On 30 Oct 2013, at 23:20, Sarah Baso <<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>> wrote:<o:p></o:p></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal>Thank you for your comments and questions Bev - the disclosure should be covered by the questionnaire at the end of the document and this is to set a minimum bar of what is required by Board and Staff. <o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Sarah<o:p></o:p></p></div></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><p class=MsoNormal>On Wed, Oct 30, 2013 at 4:05 PM, Bev Corwin <<a href="mailto:bev.corwin@owasp.org" target="_blank">bev.corwin@owasp.org</a>> wrote:<o:p></o:p></p><div><p class=MsoNormal>Dear Sarah,<o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Thank you. This is very thoughtful, and a well prepared policy document. My questions are in the context of how to define and determine appropriate differences in the understanding and relationships of "disclosure" vs "transparency" vs "privacy" vs "confidentiality" requirements within an open culture such as OWASP? This document specifically mentions "disclosure" however, it does not make mention of transparency, privacy, confidentiality, or explain what "open" specifically means within the larger context of the OWASP organizational culture. What is appropriate disclosure exactly? What is transparency? Is transparency enough? And how does an "open" culture address them in their policies?  Would it be incorrect to assume that they would be similar to more traditional or non "open" non profit organizational cultures? Thank you in advance for your thoughtfulness and consideration.<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal>Respectfully submitted,<o:p></o:p></p></div><div><p class=MsoNormal>Bev<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><div><div><div><p class=MsoNormal>On Wed, Oct 30, 2013 at 6:09 PM, Sarah Baso <<a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a>> wrote:<o:p></o:p></p></div></div><blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in'><div><div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Board members -</span><o:p></o:p></p><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>I have updated the conflict of interest policy draft, which will apply to staff and board members, to reflect comments made in the document and on the governance list.  <a href="https://docs.google.com/a/owasp.org/document/d/1IlyfFrlQg0dznJD2MnyAd2njUETVUCiMFuUYxOI8mmQ/edit" target="_blank">https://docs.google.com/a/owasp.org/document/d/1IlyfFrlQg0dznJD2MnyAd2njUETVUCiMFuUYxOI8mmQ/edit#</a><o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Thanks to everyone who reviewed and commented.<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>I am requesting a vote to approve this policy so we can move forward with implementation. <o:p></o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'><o:p> </o:p></span></p></div><div><p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Regards,<br>Sarah Baso<o:p></o:p></span></p></div></div><div><p class=MsoNormal><span style='color:#888888'><o:p> </o:p></span></p></div><p class=MsoNormal><span style='color:#888888'>-- <o:p></o:p></span></p><div><div><p class=MsoNormal><span style='color:#888888'>Executive Director<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='color:#888888'>OWASP Foundation<o:p></o:p></span></p></div><div><p class=MsoNormal><span style='color:#888888'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><span style='color:#888888'><a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a><br><a href="tel:%2B1.312.869.2779" target="_blank">+1.312.869.2779</a><br><br><br><br><o:p></o:p></span></p></div></div></div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal style='margin-bottom:12.0pt'>_______________________________________________<br>Governance mailing list<br><a href="mailto:Governance@lists.owasp.org" target="_blank">Governance@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/governance" target="_blank">https://lists.owasp.org/mailman/listinfo/governance</a><o:p></o:p></p></blockquote></div><p class=MsoNormal><o:p> </o:p></p></div></div><p class=MsoNormal><br><br clear=all><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>-- <o:p></o:p></p><div><div><p class=MsoNormal>Executive Director<o:p></o:p></p></div><div><p class=MsoNormal>OWASP Foundation<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a><br><a href="tel:%2B1.312.869.2779" target="_blank">+1.312.869.2779</a><br><br><br><br><o:p></o:p></p></div></div></div></div></blockquote><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal>_______________________________________________<br>Owasp-board mailing list<br><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><o:p></o:p></p></div></blockquote></div></blockquote></div></blockquote></div></div></div><p class=MsoNormal style='margin-bottom:12.0pt'><br>_______________________________________________<br>Owasp-board mailing list<br><a href="mailto:Owasp-board@lists.owasp.org" target="_blank">Owasp-board@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-board" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-board</a><o:p></o:p></p></div><p class=MsoNormal><o:p> </o:p></p></div></div></div></div><p class=MsoNormal><br><br clear=all><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>-- <o:p></o:p></p><div><div><p class=MsoNormal>Executive Director<o:p></o:p></p></div><div><p class=MsoNormal>OWASP Foundation<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a><br><a href="tel:%2B1.312.869.2779" target="_blank">+1.312.869.2779</a><br><br><br><br><o:p></o:p></p></div></div></div></div></div></div><p class=MsoNormal><br><br clear=all><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>-- <o:p></o:p></p><div><div><p class=MsoNormal>Executive Director<o:p></o:p></p></div><div><p class=MsoNormal>OWASP Foundation<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a><br><a href="tel:%2B1.312.869.2779" target="_blank">+1.312.869.2779</a><br><br><br><br><o:p></o:p></p></div></div></div></div></div></div></div></div></div><p class=MsoNormal><br><br clear=all><o:p></o:p></p><div><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal>-- <o:p></o:p></p><div><div><p class=MsoNormal>Executive Director<o:p></o:p></p></div><div><p class=MsoNormal>OWASP Foundation<o:p></o:p></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><p class=MsoNormal style='margin-bottom:12.0pt'><a href="mailto:sarah.baso@owasp.org" target="_blank">sarah.baso@owasp.org</a><br>+1.312.869.2779<br><br><br><br><o:p></o:p></p></div></div></div></div></body></html>