<div dir="ltr">>><span style="font-size:13px">Is it worth discussing whether the 3rd guideline should specify that the supporter badge be used by members rather than the general OWASP logo when denoting membership or support in order to avoid the appearance of OWASP endorsement?  </span><div><br></div><div>>><span style="font-size:13px">I think we need a second set of policies to publicly explain how infringement is to be handled.</span><br><div><span style="font-size:13px"><br></span></div><div>Definitely<br></div><div><br></div><div>We should work towards creating a page like this:</div><div><a href="http://www.isaca.org/about-isaca/licensing-and-promotion/pages/ip-guidelines.aspx">http://www.isaca.org/about-isaca/licensing-and-promotion/pages/ip-guidelines.aspx</a></div></div><div><br></div><div>Note the following:</div><div><br></div><div><h3 style="color:rgb(20,51,65);margin:0px 0px 0.4em;font-family:Arial,Helvetica,sans-serif"><font size="2">What are the basic rules for usage of ISACA’s trademarks?</font></h3><p style="line-height:16.799999237060547px;margin:0px 0px 1em;color:rgb(49,49,49);font-family:Arial,Helvetica,sans-serif">To the extent that a name or logo does not appear on the above list this does not constitute a waiver of any of the intellectual property rights that ISACA has established in any of its products, service names or logos. </p><p style="line-height:16.799999237060547px;margin:0px 0px 1em;color:rgb(49,49,49);font-family:Arial,Helvetica,sans-serif"><span style="background-color:rgb(255,255,0)">ISACA trademarks may not be used by individuals or organizations to promote events such as conferences, review courses, consulting services or commercial products and services.</span> Such use of these trademarks may falsely imply an endorsement or approval of the product or service by ISACA. For fair use (under trademark laws) or other truthful references that are not likely to cause confusion as to any association, sponsorship, affiliation, or endorsement by ISACA no permission is required. Requests to use ISACA trademarks should be directed in writing to <a href="mailto:IPinfo@isaca.org" style="color:rgb(56,102,122);text-decoration:none;outline:none">IPinfo@isaca.org</a>. Requests will be evaluated on a case-by-case basis.</p><h3 style="color:rgb(20,51,65);margin:0px 0px 0.4em;font-family:Arial,Helvetica,sans-serif"><font size="2"><a name="logo" style="color:rgb(56,102,122);outline:none"></a>May an ISACA member use an ISACA logo to promote his/her company?</font></h3><p style="line-height:16.799999237060547px;margin:0px 0px 1em;color:rgb(49,49,49);font-family:Arial,Helvetica,sans-serif">Generally no, with the exception for certifications described below. <span style="background-color:rgb(255,255,0)">Please note that an individual’s membership in ISACA does not include or accrue to his/her company. A member’s use of the logo in connection with his/her business may cause people and organizations receiving the member’s promotional materials to believe mistakenly that the member’s company and its products or services are affiliated with or endorsed by ISACA. Such statements misrepresent an individual or enterprise as having a relationship that does not exist.</span></p><p style="line-height:16.799999237060547px;margin:0px 0px 1em;color:rgb(49,49,49);font-family:Arial,Helvetica,sans-serif;font-size:12px">Projects like Top 10 and Benchmark have been misrepresented, so up to a certain level, we should also imply that using OWASP project's  to promote a company is not done. Vendors should not use OWASP logo's or OWASP projects to promote their companies, consulting services any form that implies any kind of endorsement.</p><p style="line-height:16.799999237060547px;margin:0px 0px 1em;color:rgb(49,49,49);font-family:Arial,Helvetica,sans-serif;font-size:12px">With the introduction of the 'supporter logo' it should be also strictly defined in which form this should be used</p></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 20, 2016 at 1:48 PM, Tiffany Long <span dir="ltr"><<a href="mailto:tiffany.long@owasp.org" target="_blank">tiffany.long@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Johanna, <div><br></div><div>The <a href="https://www.owasp.org/index.php/Talk:Marketing/Resources" target="_blank">Brand and Marketing Discussion page</a> would be a great place to talk about use case scenarios.  It has our current rules and as a community it is a great forum to discuss any updates we might be interested in.  I think the guidelines are pretty hearty, but for example, we have a supporter badge now.  Is it worth discussing whether the 3rd guideline should specify that the supporter badge be used by members rather than the general OWASP logo when denoting membership or support in order to avoid the appearance of OWASP endorsement?  That is a conversation with nuance that might be important to discuss. This conversation needs to be had for any project marks we decide to trademark as well.<br><br>I think we need a second set of policies to publicly explain how infringement is to be handled.  It should cover who should be notified with the complaint and what their first steps should be as the complaint escalates.  This will prevent inadvertent ad hoc approaches when the situation crops up and is required to prove that we defend our marks (and thus actually need them).  I don't know where that conversation should take place, but we soon begin it as soon as we move forward with the trademark process.<br><br>Does that answer your question?<div><br></div></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 20, 2016 at 10:19 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Tiffany<div><br></div><div>Are there any specific activities towards defining clear policies using the OWASP logo?</div><div><br></div><div><br></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 20, 2016 at 1:08 PM, Tiffany Long <span dir="ltr"><<a href="mailto:tiffany.long@owasp.org" target="_blank">tiffany.long@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello Larry! <br><br>I totally understand your concerns.  OWASP is an open source community dedicated to the results of our projects and outreach.  Anything that takes away from this would not be serving the community.  That is why I propose that we update our guidelines and simply make sure that our codified process for protecting our brand represents our needs and protects the hard work of our volunteers.  With this in place the work of defending our brand will be less time consuming as we will have legal protections and a process that will reach for the law after several other steps have been taken.  Right now we don't actually have trademark protection and our marks can be used unscrupulously until we do. <br><br> Furthermore, as you have seen from the co-branding work done by Kelly Santalucia having our brand out there and recognized helps evangelize our message as well as bring new volunteers into our fold. Over all this process will help lead to further engagement and mitigate the risk of our volunteers work being used improperly or diluted by less quality products branded improperly.  <br><br>As to your enumerated questions: <br><br><div>1) No, absolutely not.  Branding helps us bring visibility to projects and should a corporation use the marks inappropriately it helps us protect them. The trademark does not interfere with licensing.  Think of it as allowing us to protect our art and names. The actual product is not affected except to allow us to ensure that the name is not used incorrectly. </div><div><br></div><div>2) I do not yet know the budget that will be allotted, but the cost will depend on what we choose to TM, and where we choose to do it.  For the first steps we will only require the cost of fees to apply for a TM and time from me, a paid employee.  We do not need a lawyer for the concrete steps I suggested. Volunteer input in the process will also be necessary to make sure we accurately reflect the needs of the community.  We will do our best to strike a balance to make the effort as productive and efficient as possible. <span><font color="#888888"><br><br>-Tiffany<br><br> </font></span></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 20, 2016 at 6:58 AM, johanna curiel curiel <span dir="ltr"><<a href="mailto:johanna.curiel@owasp.org" target="_blank">johanna.curiel@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span><span style="font-size:13px">Hi Larry, Dirk</span><div style="font-size:13px"><br></div><div style="font-size:13px">I offered my support for this part to define clear policies with no cost at all. I have access to legal support and can help provide this.</div><div style="font-size:13px"><br></div><div style="font-size:13px">The steps took by the Stephany are the right ones toward protection of the brand but it is necessary to define better policies and process towards protection of brand abuse.</div><div style="font-size:13px"><br></div><div style="font-size:13px">In the end is about misrepresentation. Do we want vendor's to use OWASP logo in a way that should indicate endorsement?</div><div style="font-size:13px"> I don't think so especially when we proc;aim, being vendor neutral and using the OWASP logo in commercial vendor activities to promote business or commercial activities should be clearly stipulated to avoid this:</div><div style="font-size:13px"><a href="http://www.acunetix.com/blog/articles/owasp-top-10-2010/" target="_blank">http://www.acunetix.com/blog/articles/owasp-top-10-2010/</a><br></div><div style="font-size:13px"><a href="https://pbs.twimg.com/media/CVO0vmSW4AAgZ6M.png:large" target="_blank">e</a>specially this:</div><div style="font-size:13px"><a href="https://pbs.twimg.com/media/CVO0vmSW4AAgZ6M.png:large" target="_blank">https://pbs.twimg.com/media/CVO0vmSW4AAgZ6M.png:large</a><br></div><div style="font-size:13px"><br></div><div style="font-size:13px">and a page that cannot be found after Dirk mention the abuse on twitter:</div></span><div style="font-size:13px"><a href="https://twitter.com/drwetter/status/733744181340962816" target="_blank">https://twitter.com/drwetter/status/733744181340962816</a><br></div><span><div style="font-size:13px"><br></div><div style="font-size:13px">While I agree with many things you mentioned regarding lack of engagement, I think at this point of time OWASP has a brand to protect and should not really worry about lack of engagement and should establish clear policies regarding this.</div><div style="font-size:13px"><br></div></span><div style="font-size:13px">Protecting a brand when there has been clear abuse cases is not a waste of time, on the contrary, if we allow abuse, our vendor neutrality claims will go down the drain and loose credebility</div><div><div><div style="font-size:13px"><br></div><div class="gmail_extra"><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="gmail_extra"><div><div><div class="gmail_quote">On Mon, Jun 20, 2016 at 8:48 AM, Larry Conklin <span dir="ltr"><<a href="mailto:larry.conklin@owasp.org" target="_blank">larry.conklin@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><font color="#000000" face="Times New Roman" size="3">

</font><p style="background-color:white;margin:3pt 0in 8pt;line-height:normal"><span lang="EN" style="color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:9pt">Is this really an issue
that we need to drive time, and money towards? We have some much publicized
cases in the past of abuse of OWASP name and branding being used by a
commercial security vendors. This is not what we want as a community when we
put volunteer hours into something and then have a commercial enterprise try to
make money for themselves. I appreciate and support not wanting this type of
abuse. </span></p><font color="#000000" face="Times New Roman" size="3">

</font><p style="margin:0in 0in 8pt"><span lang="EN" style="color:rgb(51,51,51);line-height:107%;font-family:Arial,sans-serif;font-size:9pt">My fear is that we are over reacting to
brand abuse with a knee jerk reaction. Yes, we have had complaints. The
community and board so far has been able to resolve these. Now we want more
polices, attorneys involvement, additional overhead and expenses? What will
that really give us? Our focus should always be on Application Security and
being an open organization. </span></p><font color="#000000" face="Times New Roman" size="3">

</font><p style="margin:0in 0in 8pt"><b><span style="color:rgb(77,77,77);line-height:107%;font-family:'Benton Sans';font-size:9pt">Don’t fear lack of control. Fear lack of
engagement. Lack of engagement is our greatest weakness. Money and time should
go towards projects not more polices, legal fees, etc.</span></b></p><font color="#000000" face="Times New Roman" size="3">

</font><div style="margin:0in 0in 8pt"><span lang="EN" style="color:rgb(51,51,51);line-height:107%;font-family:Arial,sans-serif;font-size:9pt">If we are not careful we might back
ourselves into a corner. The end result could be a less open organization, more
polices, with less money going towards projects.<span>  </span>In the past been able to resolve branding
abuse with community and board working together. </span></div><div style="margin:0in 0in 8pt"><span lang="EN" style="color:rgb(51,51,51);line-height:107%;font-family:Arial,sans-serif;font-size:9pt"><br></span></div><div style="margin:0in 0in 8pt"><span lang="EN" style="color:rgb(51,51,51);line-height:107%;font-family:Arial,sans-serif;font-size:9pt">Open questions to community manager and board.</span></div><ol><li><div style="margin:0in 0in 8pt"><span lang="EN" style="color:rgb(51,51,51);line-height:107%;font-family:Arial,sans-serif;font-size:9pt">Does branding, logo's, trademarks registered to OWASP take any rights away from project leaders or projects being open source?</span></div></li><li><div style="margin:0in 0in 8pt"><span lang="EN" style="color:rgb(51,51,51);line-height:107%;font-family:Arial,sans-serif;font-size:9pt">How much money is being budgeted for legal, etc fees for branding, logo's, and trademarks?</span></div></li></ol><div style="margin:0in 0in 8pt"><span lang="EN" style="color:rgb(51,51,51);line-height:107%;font-family:Arial,sans-serif;font-size:9pt">Larry Conklin, CISSP</span></div><font color="#000000" face="Times New Roman" size="3">

</font></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 13, 2016 at 1:55 PM, Dirk Wetter <span dir="ltr"><<a href="mailto:dirk@owasp.org" target="_blank">dirk@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">BTW, I added my suggestion to the discussion/talk section.<br>
<br>
<a href="https://www.owasp.org/index.php?title=Talk%3AMarketing%2FResources&diff=217765&oldid=210932" rel="noreferrer" target="_blank">https://www.owasp.org/index.php?title=Talk%3AMarketing%2FResources&diff=217765&oldid=210932</a><br>
<br>
Cheers, Dirk<br>
<div><div><br>
Am 06/06/2016 um 05:33 PM schrieb Dirk Wetter:<br>
> Hi Liam and all,<br>
><br>
> Am 05/20/2016 um 06:38 PM schrieb Liam Smit:<br>
>> Hi Dirk<br>
>><br>
>> On Fri, May 20, 2016 at 5:57 PM, Dirk Wetter <<a href="mailto:dirk@owasp.org" target="_blank">dirk@owasp.org</a> <mailto:<a href="mailto:dirk@owasp.org" target="_blank">dirk@owasp.org</a>>> wrote:<br>
>><br>
>><br>
>>     Am 05/20/2016 um 05:07 PM schrieb johanna curiel curiel:<br>
>><br>
>><br>
>> <snip><br>
>><br>
>>     > Abuses will happen where financial gain is.If putting this logo can help me sell...well you bet the first ones happy will be the vendors.<br>
>>     > Contrast did that with OWASP benchmark publicising OWASP logo 'sponsored by' even the DHS logo.<br>
>>     > <a href="https://twitter.com/jctechno/status/672079500033814528" rel="noreferrer" target="_blank">https://twitter.com/jctechno/status/672079500033814528</a><br>
>><br>
>>     Ok, a TM would have helped here maybe.<br>
>><br>
>><br>
>>     But in general this is why I think giving away a supporter logo is not good either -- the<br>
>>     only point where we have<br>
>>     a different stance so far:<br>
>><br>
>>     My firm belief is if you give a away a logo you can't control the usage. It's like putting<br>
>>     a vulnerable<br>
>>     web application in the internet. Somebody will find and hack/abuse it. It also doesn't<br>
>>     matter if a law is<br>
>>     saying that it shouldn't been hacked [1]. Same with the logo. Giving a logo away is like<br>
>>     announcing<br>
>>     a vulnerable web app to all bad guys. So a supporter logo could be an invitation to abuse<br>
>>     (ideas see my first mail).<br>
>><br>
>>     Also I do not understand the point in the first place: Why do we want to give a away a<br>
>>     logo? What's<br>
>>     our added benefit?<br>
>><br>
>>     Thus I find a very strict logo policy accompanied with a proper TM the right thing to do.<br>
>>     There's<br>
>>     still potential for abuse but at least you did the best reasonably possible..<br>
>><br>
>>     Look at ISACA. You can't use the logo without written consent by ISACA.<br>
>><br>
>><br>
>> Why don't you put forward a strict logo use policy?<br>
>><br>
>> Obviously it might not be adopted if most people prefer a looser logo usage policy but if you<br>
>> don't put anything forward then I highly doubt anything will come of you merely stating your<br>
>> preference for a strict usage policy.<br>
><br>
> fair enough.<br>
><br>
> Not so many people responded, so I wanted to limit my investment in terms of time.<br>
><br>
> Suggestion:<br>
><br>
> --snip<br>
><br>
> The OWASP logo (future: is a trademark and) is the property of the OWASP Foundation.<br>
><br>
> * OWASP logos must not be used by individuals or organizations to promote commercial products,<br>
> services, or events such as conferences, courses.<br>
> * OWASP logos must not be used in a manner that suggests that The OWASP Foundation supports,<br>
> advocates, endorses, or recommends any particular product, services or technology.<br>
> * OWASP logos must not be used in a manner that suggests that a product or technology is<br>
> compliant with any OWASP Materials<br>
> * OWASP logos must not be used in a manner that suggests that a product or technology can<br>
> enable compliance with any OWASP Materials<br>
> * OWASP logos may be used by special arrangement with The OWASP Foundation. Requests to use<br>
> OWASP logos should be directed in writing to<br>
>   <fillinmailaddresshere>. Requests will be evaluated on a case-by-case basis by a compliance team.<br>
> * The special arrangement can be withdrawn by OWASP at any point of time.<br>
><br>
> --snap<br>
><br>
> I was replacing brand by logo. I haven't seen @<br>
> <a href="https://www.owasp.org/index.php/Marketing/Resources#tab=BRAND_GUIDELINES" rel="noreferrer" target="_blank">https://www.owasp.org/index.php/Marketing/Resources#tab=BRAND_GUIDELINES</a><br>
> any definition of the term "brand". If that would be clarified we could swap that back.<br>
><br>
><br>
><br>
><br>
> Cheers, Dirk<br>
><br>
><br>
<br>
--<br>
German OWASP Chapter Lead<br>
Send me encrypted mails (Key ID 0xB818C039)<br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div></div></div></div>
<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" rel="noreferrer" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Johanna Curiel </div>OWASP Volunteer</div></div>
</div>