<div class="gmail_quote">2010/5/23 Brian Bertacini <span dir="ltr">&lt;<a href="mailto:brian@appsecconsulting.com">brian@appsecconsulting.com</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
I respectfully recommend certain business requirements be validated prior to<br>
listing in the commercial services directory.  This will help add legitimacy<br>
to the program and reduce the potential for reputation risk caused by<br>
potential bad operators.  Please consider the following requirements below:<br></blockquote><div><br></div>That sure makes me less interested in this idea :). As Antonio said, who will do all these checks? Since legislation differs quite a lot we&#39;ll have to have representation in every country or state where these companies/institutions/proprietors do their business.<br>
<div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
1.  companies/institutions/proprietors listed in the directory our subject<br>
business requirements validation<br>
    -  business legitimacy (posses a government issued business license, in<br>
good standing with tax collecting entities, etc.)<br></blockquote><div><br></div><div>We&#39;ll have to set up a database of all these companies along with timestamps for when we checked their good standing.</div><div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
    -  perform background checks on employees providing services (criminal<br>
history checks, etc.)<br></blockquote><div><br></div><div>In many countries this is not an easy thing. Checking a person&#39;s criminal history is not a phone call away.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

    -  minimum levels of insurance (general liability, technology errors &amp;<br>
omissions, etc.)<br></blockquote><div><br></div><div>Again with the database. And just defining what minimum insurance is? It&#39;ll differ between countries. And a teacher might have good insurance coverage in his/her own country but not when abroad.</div>
<div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
2. implementation of a quality assurance program<br>
    -  develop, maintain and monitor QA standards<br>
    -  customer feedback/surveys (to monitor service providers)<br>
    -  a method for quality enforcement (remediation, etc.)<br></blockquote><div><br></div><div>Many smaller consultancy firms do not have QA programs in any formal way. That might be a problem for OWASP but let&#39;s say Dinis has his own firm and wants to be part of this commercial delivery of courses. Does he have to develop, maintain and monitor QA standards?</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
3. formal certification program and code of conduct<br>
   -  promote consistent and high-quality delivery of commercial services<br>
   -  maintain high ethical standards for service providers<br></blockquote><div><br></div><div>If you mean a basic &quot;Sign this ethical code of conduct for teachers giving courses based on OWASP material&quot; I think it&#39;s a good idea. For me, that&#39;s the only reasonable requirement we can handle.</div>
<div><br></div><div>   Regards, John</div><div><br></div></div>-- <br>John Wilander<br>Chapter leader OWASP Sweden, <a href="http://owaspsweden.blogspot.com">http://owaspsweden.blogspot.com</a><br>Conference chair OWASP AppSec Research 2010, <a href="http://owasp.se">http://owasp.se</a><br>