<div dir="ltr">John, <div><br></div><div>I think your point about ISACA is why OWASP should only manage who did what when - aka the metadata around a potential CPE event - for those that ask.</div><div><br></div><div>What I mean by that is that every certification org has their own rules about how much 'credit' a CPE activity provides a member with that cert.</div><div><br></div><div>OWASP doesn't want to have to track what ISACA, ISC2, EC-Council, ... thinks a 1 hour chapter meeting is worth in terms of CPE.  Instead, create an opt-in mechanism where those that need/want CPEs provide some info so a chapter can confirm the CPE if ISACA, ISC2, EC-Council asks.</div><div><br></div><div>Key it that we don't ask the chapters, conference organizers, trainers, etc to keep detailed records on all attendees.  Just provide a way that those that need it can note their attendance in a way that can be verified later in case of an audit.  Basically, what Josh said. :)</div><div><br></div><div>For example, you could put the 'proof' in Google Drive folder under your @<a href="http://owasp.org">owasp.org</a> account and share it with the other chapter leaders.  The technical specifics aren't as important as it being a low burden on those holding events.</div><div><br></div><div>Cheers!</div><div class="gmail_extra"><br clear="all"><div><div dir="ltr">--<br>-- Matt Tesauro</div><div dir="ltr">OWASP AppSec Pipeline Lead</div><div dir="ltr"><a href="https://www.owasp.org/index.php/OWASP_AppSec_Pipeline" target="_blank">https://www.owasp.org/index.php/OWASP_AppSec_Pipeline</a> <br><div>OWASP WTE Project Lead<br><u><a href="https://www.owasp.org/index.php/OWASP_Web_Testing_Environment_Project" target="_blank">https://www.owasp.org/index.php/OWASP_Web_Testing_Environment_Project</a></u><br><a href="http://appseclive.org/" target="_blank">http://AppSecLive.org</a> - Community and Download site</div></div><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><br></div></div></div></div></div><div class="gmail_quote">On Tue, Jun 14, 2016 at 11:58 AM, John Patrick Lita <span dir="ltr"><<a href="mailto:john.patrick.lita@owasp.org" target="_blank">john.patrick.lita@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-family:'comic sans ms',sans-serif">Hi Josh,<br><br></div><div style="font-family:'comic sans ms',sans-serif">Thank you for this information, what about ISACA members?<br></div></div><div class="gmail_extra"><span class=""><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div><b><u>John Patrick Lita</u> </b><br></div><div>Manager for cyber security and IT services<br></div><div>OWASP Manila chapter chairman<br></div>FB Page @<a href="https://www.facebook.com/OwaspManila" target="_blank">OwaspManila</a><br><b><a href="https://www.owasp.org/index.php/Manila" target="_blank">https://www.owasp.org/index.php/Manila</a></b><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-manila" target="_blank"><span></span></a></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br></span><div><div class="h5"><div class="gmail_quote">On Wed, Jun 15, 2016 at 12:55 AM, Josh Sokol <span dir="ltr"><<a href="mailto:josh.sokol@owasp.org" target="_blank">josh.sokol@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>OWASP Austin uses eventbrite as a means to have people register for our meetings.  They have the ability to print a sign-in sheet which we then put out at the meeting.  We have experimented with sending CPE certificates in the past, but it's high effort and low return.  (ISC)2 only occasionally audits people who self-submit CPEs and I think I only had one or two over the two years that I ran the chapter.  I just provided an e-mail saying "I verify that <PERSON X> attended the hour-long <DATE> OWASP meeting."  They've never questioned it.  I would recommend similar as it's very low effort and seems to satisfy the requirements.<span><font color="#888888"><br><br></font></span></div><span><font color="#888888">~josh<br></font></span></div><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Tue, Jun 14, 2016 at 11:39 AM, John Patrick Lita <span dir="ltr"><<a href="mailto:john.patrick.lita@owasp.org" target="_blank">john.patrick.lita@owasp.org</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div><div><div dir="ltr"><div style="font-family:'comic sans ms',sans-serif">Hi All,<br><br></div><div style="font-family:'comic sans ms',sans-serif">Maybe a chapter leader will create a google form 'like josh' said and the chapter will keep it, or send a copy for the OWASP board for references <br></div></div><div class="gmail_extra"><span><br clear="all"><div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div><b><u>John Patrick Lita</u> </b><br></div><div>Manager for cyber security and IT services<br></div><div>OWASP Manila chapter chairman<br></div>FB Page @<a href="https://www.facebook.com/OwaspManila" target="_blank">OwaspManila</a><br><b><a href="https://www.owasp.org/index.php/Manila" target="_blank">https://www.owasp.org/index.php/Manila</a></b><br><span><a href="https://lists.owasp.org/mailman/listinfo/owasp-manila" target="_blank"><span></span></a></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
<br></span><div><div><div class="gmail_quote">On Wed, Jun 15, 2016 at 12:33 AM, Tiffany Long <span dir="ltr"><<a href="mailto:tiffany.long@owasp.org" target="_blank">tiffany.long@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hello Andrew, <div><br></div><div>OWASP does not maintain a database of CPE credits.  However each chapter can choose to do so. As to how, I suggest discussing with your board the most sustainable way to collect the information as any method should be easily handed down with leadership shifts.  As Josh suggested collected sign-in sheets (or pictures of the sign-in sheets kept digitally and tagged by date) would be a low impact long term solution. <br><br>Below is an excerpt from the handbook and the link to the page should you need to refer others. </div><div><br></div><div>Best,</div><div>Tiffany<br><br><h3 style="color:black;margin:0.3em 0px 0px;overflow:hidden;padding-top:0.5em;padding-bottom:0px;border-bottom-style:none;line-height:1.6;font-family:sans-serif;background-image:none;background-repeat:initial"><span>Collecting CPE Forms</span><span style="font-size:small;font-weight:normal;margin-left:1em;vertical-align:baseline;line-height:1em;display:inline-block"><span>[</span><a href="https://www.owasp.org/index.php?title=Chapter_Handbook/Chapter_7:_Organizing_Chapter_Meetings&action=edit&section=25" title="Edit section: Collecting CPE Forms" style="text-decoration:none;color:rgb(11,0,128);background:none" target="_blank">edit</a><span>]</span></span></h3><p style="margin:0.5em 0px;line-height:22.4px;color:rgb(37,37,37);font-family:sans-serif;font-size:14px">Send out CPE credits to attendees that requested them or explain to them that ISC2 (as a example) is a self certify -- if organizations such as those want to designate someone to collect and validate they are welcome to do so, but that is not a responsibility of OWASP Chapter Leaders.</p><p style="margin:0.5em 0px;line-height:22.4px;color:rgb(37,37,37);font-family:sans-serif;font-size:14px"><br></p><p style="margin:0.5em 0px"><font color="#252525" face="sans-serif"><span style="font-size:14px;line-height:22.4px"><a href="https://www.owasp.org/index.php/Chapter_Handbook/Chapter_7:_Organizing_Chapter_Meetings#Collecting_CPE_Forms" target="_blank">https://www.owasp.org/index.php/Chapter_Handbook/Chapter_7:_Organizing_Chapter_Meetings#Collecting_CPE_Forms</a></span></font><br></p></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 14, 2016 at 9:08 AM, Andrew van der Stock <span dir="ltr"><<a href="mailto:vanderaj@owasp.org" target="_blank">vanderaj@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi Tiffany, <div><br></div><div>Can you please outline best practices for people running chapter meetings, day long events, and conferences in relation to providing the correct CPE credits to attendees? i.e. do we state how many points and in what class they should claim, or do we need to maintain a list of folks claiming CPE for attending (hope not). </div><div><br></div><div>I had a query from JP (cc'd), who is helping run a day long course and they were asked about this. I personally just add my attendance in the ISC portal and no one has hassled me or the event yet, but I'm sure there's some sort of protocol we should have ready in case. </div><div><br></div><div>thanks,</div><div>Andrew</div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div></div></div>
<br></div></div><span>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></span></blockquote></div><br></div>
</blockquote></div><br></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div></div>