<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.5626" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=884493101-08092008><FONT face=Arial 
color=#0000ff size=2>Sorry, I sent to James and forgot the 
list:</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=884493101-08092008><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=884493101-08092008>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2>#6 I suggest you state what agreement you are referring 
to.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2>#7 I suggest asking how we are protected "from" as opposed 
to how we are protected "by".</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2>Do we have any option for blind auditing of a 
center?</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2>Will we be able to review the results of their audit of 
their test centers?</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=150262101-08092008><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN>&nbsp;</DIV></SPAN></DIV>
<DIV>&nbsp;</DIV>
<DIV align=left><FONT face=Arial size=2>Cheers,</FONT></DIV>
<DIV align=left><FONT face=Arial size=2>Gary</FONT></DIV>
<DIV>&nbsp;</DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-cert-bounces@lists.owasp.org 
[mailto:owasp-cert-bounces@lists.owasp.org] <B>On Behalf Of 
</B>james@architectbook.com<BR><B>Sent:</B> Sunday, September 07, 2008 8:31 
AM<BR><B>To:</B> owasp-cert@lists.owasp.org<BR><B>Subject:</B> [Owasp-cert] 
Certification Provider<BR></FONT><BR></DIV>
<DIV></DIV><SPAN style="FONT-SIZE: 10pt; COLOR: #000000; FONT-FAMILY: Verdana">
<DIV>I am compiling a list of questions that we would like to know about 
Kryterion that aren't addressed on their web site with the hope of gaining 
additional insight in the next week or two. Below are a list of questions that I 
have and I would love to receive questions from others on this list...</DIV>
<DIV>&nbsp;</DIV>
<DIV>1. OWASP as its mission has as a focus the goal of making web application 
security visible. It could be potentially embarassing if the testing provider we 
chose actually had vulnerabilities we evangelize. Would your organization be 
open to an audit of source code used for testing if the proper NDAs were in 
place?</DIV>
<DIV>&nbsp;</DIV>
<DIV>2. Our past experience with certifications offered by Prometric uncovered 
that not all testing centers can administer all tests. Will we experience 
something similar here? If not, could you explain why?</DIV>
<DIV>&nbsp;</DIV>
<DIV>3. Thomson Prometric periodically offers item writing workshops to college 
faculty and other non-profits. Do you have a similar offering?</DIV>
<DIV>&nbsp;</DIV>
<DIV>4. What is the liability you hold if the exam information is leaked through 
a breach?</DIV>
<DIV>&nbsp;</DIV>
<DIV>5. How do you ensure compliance with ADA with respect to physical 
accessibility of test sites and the provision of accommodations in the taking of 
the examinations by qualified disabled candidates?</DIV>
<DIV>&nbsp;</DIV>
<DIV>6. Can we assume that your agreement states that you have provisions for 
mandatory insurance including general liability (at least $1 million in the 
aggregate and per occurrence), automobile liability (combined single limit of at 
least $1 million), and workers compensation as required by law?</DIV>
<DIV>&nbsp;</DIV>
<DIV>7. How are we protected by unreasonable price increases?</DIV>
<DIV>&nbsp;</DIV>
<DIV>8. How often are test centers outside of North America physically 
reviewed?</DIV>
<DIV>&nbsp;</DIV>
<DIV>9. Do you have capabilities such as capturing a digital signature, 
collecting digital photo and providing photo on score report?</DIV>
<DIV>&nbsp;</DIV>
<DIV>10. Do you have any form of secret shopper program?</DIV>
<DIV>&nbsp;</DIV>
<DIV>11. What forms of marketing assistance do you provide?</DIV>
<DIV>&nbsp;</DIV>
<DIV>12. Kryterion has less testing centers than other providers. How can we 
tell the difference in selective judgement of Kryterion bringing on new centers 
vs the centers themselves not joining up due to their inability to generate 
profit from partnering with Kryterion?</DIV>
<DIV>&nbsp;</DIV>
<DIV>13. Can you send us a copy of a sanitized RFP for another entity where you 
competed against Prometric and/or Vue?</DIV></SPAN></BODY></HTML>