[Owasp-poland] Kryteria oceny bezpieczeństwa bankowości internetowej

Paweł Krawczyk pawel.krawczyk at hush.com
Fri May 14 11:33:47 EDT 2010


On Fri, 14 May 2010 17:13:53 +0200 Paweł Goleń 
<pawel.golen at gmail.com> wrote:

>A może zorganizować najpierw "panel dyskusyjny"? Tak by na żywo się
>spotkać i powymieniać się swoimi obserwacjami oraz poglądami.

Dyskusję merytoryczną lepiej prowadzić na liście. Najprościej 
zacząć od tego, kto jakie zna cele biznesowe uwierzytelnienia i 
autoryzacji w bankach bo to nie jest wcale takie oczywiste.

Raport PCWK jest faktycznie dość słaby a przede wszystkim dlatego, 
że wrzuca do jednego worka bankowość korporacyjną i masową. A one 
mają dość odmienne potrzeby jeśli chodzi o bezpieczeństwo (np. 
niezaprzeczalność).

Oceny są także wystawiane bez zdefiniowania kryterium "lepszości". 
Co z tego, że podpis elektroniczny jest "najbezpieczniejszy", skoro 
przez lata w Fortisie korzystało z niego zaledwie kilkuset klientów 
bo jest za to bezpieczeństwo płaci się bardzo niską używalnością?

BTW jak już piszemy jakieś kryteria to proponuję po angielsku, że 
by się nie zamykać w getcie.

-- 
Paweł Krawczyk
http://ipsec.pl



More information about the Owasp-poland mailing list