<div dir="ltr"><div>I think we can fairly easily cover PCI DSS (and various other regulatory) concepts/content without having to get so specific that one would have to actually know the regulation itself. For example, off the top of my head, one of the things PCI DSS says is, &quot;Do not use vendor-supplied defaults for system passwords and other security parameters.&quot; That&#39;s just general good advice. We could have an objective of the exam be to see whether someone knows/realises you should change default passwords on OTS OSes, web servers, web apps, databases, etc. That covers a piece of PCI DSS without anybody having to actually know that it&#39;s a PCI DSS requirement. However, if we stated a question thusly:</div>

<div>&nbsp;</div>
<div>Which is a PCI DSS requirement?</div>
<div>a) do not use vendor-supplied defaults for system passwords</div>
<div>b) do not weak or easily-guessed system passwords</div>
<div>c) do not use blank passwords or passwords equal to the respective account names</div>
<div>d) Godzilla</div>
<div>&nbsp;</div>
<div>Any given security person might think (a), (b), or (c) is a correct answer. You have to know that PCI DSS specifically calls out (a) as the requirement. I think we should employ the 10-foot-pole principle to these kinds of objectives.</div>

<div>&nbsp;</div>
<div>P.S. I&#39;m not advocating a multiple-guess exam. It&#39;s just an illustration. :-)</div>
<div>&nbsp;</div>
<div>Matt<br><br></div>
<div class="gmail_quote">On Mon, Jul 28, 2008 at 5:14 AM, Christian Wenz <span dir="ltr">&lt;<a href="mailto:chw@hauser-wenz.de">chw@hauser-wenz.de</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div lang="DE" link="blue" vlink="purple">
<div>
<p><span lang="EN-US" style="FONT-SIZE: 11pt; COLOR: #1f497d">I think the question is: Is someone who is not familiar with the intrinsic of PCI DSS still knowledgeable enough to be entitled to be certified? In my opinion: yes. Especially since even Fortune500 companies often just rely on a credit card fulfillment provider who is PCI DSS certified. Also, PCI DSS is not really focused on the web. </span></p>

<p><span lang="EN-US" style="FONT-SIZE: 11pt; COLOR: #1f497d">Generally, what we did at the other exam was that we did include questions on topic that were a bit off mainstream, but we included so few of them so that you could still pass the exam even if you did not get one of those right. </span></p>

<p><span lang="EN-US" style="FONT-SIZE: 11pt; COLOR: #1f497d">&nbsp;</span></p><font color="#888888">
<p><span lang="EN-US" style="FONT-SIZE: 11pt; COLOR: #1f497d">--Christian</span></p></font>
<div class="Ih2E3d">
<p><span lang="EN-US" style="FONT-SIZE: 11pt; COLOR: #1f497d">&nbsp;</span></p>
<p><span lang="EN-US" style="FONT-SIZE: 11pt; COLOR: #1f497d">&nbsp;</span></p>
<div style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0cm; BORDER-TOP: medium none; PADDING-LEFT: 4pt; PADDING-BOTTOM: 0cm; BORDER-LEFT: blue 1.5pt solid; PADDING-TOP: 0cm; BORDER-BOTTOM: medium none">
<p><span lang="EN-US">At some level, enterprises are struggling with implementing PCI compliance within their applications. </span>Would it be bad if the exam in terms of coverage, asked a question that uncovers knowledge in the PCI subject areas? Likewise, would it be bad if we structured in a way that allowed PCI to endorse OWASP certification?</p>
</div></div></div></div><br>_______________________________________________<br>Owasp-cert mailing list<br><a href="mailto:Owasp-cert@lists.owasp.org">Owasp-cert@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-cert" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-cert</a><br>
<br></blockquote></div><br></div>