<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.6000.17023" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><FONT face=Arial color=#0000ff size=2><SPAN 
class=421121818-23052010>I hear you Mike...I was thinking along the lines of 
what the PCI Security Standards Council is doing to regulate service providers 
for ASV, PCI-DSS, PA-DSS and incident response services.&nbsp; Obviously that 
would demand the&nbsp;requirements I mentioned in my previous message.&nbsp; As 
long as the program can maintain high quality standards and strong&nbsp;ethics 
it will be successful.&nbsp; Thanks for your feedback.&nbsp; 
&nbsp;&nbsp;&nbsp;</SPAN></FONT></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> owasp-leaders-bounces@lists.owasp.org 
[mailto:owasp-leaders-bounces@lists.owasp.org] <B>On Behalf Of </B>Mike 
Boberski<BR><B>Sent:</B> Sunday, May 23, 2010 9:05 AM<BR><B>To:</B> 
owasp-leaders@lists.owasp.org<BR><B>Cc:</B> owasp-connections-committee; 
global_education_committee@lists.owasp.org<BR><B>Subject:</B> Re: 
[Owasp-leaders] [Global_education_committee] Commercialdeliveryof courses based 
on OWASP materials<BR></FONT><BR></DIV>
<DIV></DIV>All we're really shooting for here is a phone book, one that's sorted 
according to some OWASP artifacts as they are currently categorized, to try to 
nudge the planet along in adoption of them, to get consumers of services of 
those types to ask for them.
<DIV><BR></DIV>
<DIV>An encapsulating accreditation program(s) of any nature is not doable with 
OWASP for many reasons. Many different approaches have been explored over the 
past two years or so, the phone book/Drupal-like listing that is run like the 
OWASP jobs page is what is possible.&nbsp;</DIV>
<DIV><BR></DIV>
<DIV>I'm currently even leaning towards further backing off the Drupal listing 
and go with what CC/FIPS do, and just put the company name and contact info in 
each listing, to further tweak what I have up there right now, to further 
proactively head off any additional concerns. I also would like to work with Tom 
to tweak some of the titles, and I could use a hand to further pretty it up, I 
know there are folks out there a lot better at that kinda thing than me.</DIV>
<DIV><BR></DIV>
<DIV>Let us keep it simple, let us keep in mind that just as there are the 
various lists like this one to provide advice and suggestions for improvement as 
we move forward with this, that the board is providing direct oversight, and 
that OWASP sys admins will retain complete administrative control, again just 
like the jobs page.&nbsp;</DIV>
<DIV><BR></DIV>
<DIV>Mike<BR><BR><BR>
<DIV class=gmail_quote>On Sun, May 23, 2010 at 5:01 AM, John Wilander <SPAN 
dir=ltr>&lt;<A 
href="mailto:john.wilander@owasp.org">john.wilander@owasp.org</A>&gt;</SPAN> 
wrote:<BR>
<BLOCKQUOTE class=gmail_quote 
style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
  <DIV class=gmail_quote>2010/5/23 Brian Bertacini <SPAN dir=ltr>&lt;<A 
  href="mailto:brian@appsecconsulting.com" 
  target=_blank>brian@appsecconsulting.com</A>&gt;</SPAN>
  <DIV class=im><BR>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">I 
    respectfully recommend certain business requirements be validated prior 
    to<BR>listing in the commercial services directory. &nbsp;This will help add 
    legitimacy<BR>to the program and reduce the potential for reputation risk 
    caused by<BR>potential bad operators. &nbsp;Please consider the following 
    requirements below:<BR></BLOCKQUOTE>
  <DIV><BR></DIV></DIV>That sure makes me less interested in this idea :). As 
  Antonio said, who will do all these checks? Since legislation differs quite a 
  lot we'll have to have representation in every country or state where 
  these&nbsp;companies/institutions/proprietors do their business.
  <DIV class=im><BR>
  <DIV><BR></DIV>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">1. 
    &nbsp;companies/institutions/proprietors listed in the directory our 
    subject<BR>business requirements validation<BR>&nbsp; &nbsp;- &nbsp;business 
    legitimacy (posses a government issued business license, in<BR>good standing 
    with tax collecting entities, etc.)<BR></BLOCKQUOTE>
  <DIV><BR></DIV></DIV>
  <DIV>We'll have to set up a database of all these companies along with 
  timestamps for when we checked their good standing.</DIV>
  <DIV class=im>
  <DIV>&nbsp;</DIV>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">&nbsp; 
    &nbsp;- &nbsp;perform background checks on employees providing services 
    (criminal<BR>history checks, etc.)<BR></BLOCKQUOTE>
  <DIV><BR></DIV></DIV>
  <DIV>In many countries this is not an easy thing. Checking a person's criminal 
  history is not a phone call away.</DIV>
  <DIV class=im>
  <DIV>&nbsp;</DIV>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">&nbsp; 
    &nbsp;- &nbsp;minimum levels of insurance (general liability, technology 
    errors &amp;<BR>omissions, etc.)<BR></BLOCKQUOTE>
  <DIV><BR></DIV></DIV>
  <DIV>Again with the database. And just defining what minimum insurance is? 
  It'll differ between countries. And a teacher might have good insurance 
  coverage in his/her own country but not when abroad.</DIV>
  <DIV class=im>
  <DIV><BR></DIV>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">2. 
    implementation of a quality assurance program<BR>&nbsp; &nbsp;- 
    &nbsp;develop, maintain and monitor QA standards<BR>&nbsp; &nbsp;- 
    &nbsp;customer feedback/surveys (to monitor service providers)<BR>&nbsp; 
    &nbsp;- &nbsp;a method for quality enforcement (remediation, 
  etc.)<BR></BLOCKQUOTE>
  <DIV><BR></DIV></DIV>
  <DIV>Many smaller consultancy firms do not have QA programs in any formal way. 
  That might be a problem for OWASP but let's say Dinis has his own firm and 
  wants to be part of this commercial delivery of courses. Does he have to 
  develop, maintain and monitor QA standards?</DIV>
  <DIV class=im>
  <DIV>&nbsp;</DIV>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">3. 
    formal certification program and code of conduct<BR>&nbsp; - &nbsp;promote 
    consistent and high-quality delivery of commercial services<BR>&nbsp; - 
    &nbsp;maintain high ethical standards for service providers<BR></BLOCKQUOTE>
  <DIV><BR></DIV></DIV>
  <DIV>If you mean a basic "Sign this ethical code of conduct for teachers 
  giving courses based on OWASP material" I think it's a good idea. For me, 
  that's the only reasonable requirement we can handle.</DIV>
  <DIV><BR></DIV>
  <DIV>&nbsp;&nbsp; Regards, John</DIV>
  <DIV><BR></DIV></DIV><FONT color=#888888>-- <BR>John Wilander<BR>Chapter 
  leader OWASP Sweden, <A href="http://owaspsweden.blogspot.com" 
  target=_blank>http://owaspsweden.blogspot.com</A><BR>Conference chair OWASP 
  AppSec Research 2010, <A href="http://owasp.se" 
  target=_blank>http://owasp.se</A><BR></FONT><BR>_______________________________________________<BR>OWASP-Leaders 
  mailing list<BR><A 
  href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</A><BR><A 
  href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" 
  target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-leaders</A><BR><BR></BLOCKQUOTE></DIV><BR></DIV></BODY></HTML>