La certificación de productos obedece a estándares ampliamente conocidos, verificables y conocidos.
Sin embargo, los certificados de resultados de revisión exitosa (SRRC por su siglas en inglés), son únicamente evidencia que “ciertas o todas” las vulnerabilidades halladas en la primera revisión fueron superadas en la segunda revisión (llamada también retest o refrendo).
Por lo tanto, el SRRC de JaCkSecurity no certifica el cumplimiento de ningún cuerpo de reglas o estándar de seguridad.
Cada cliente que solicite este certificado tampoco podrá usarlo como evidencia de seguridad absoluta, debido a que las técnicas de penetración van actualizándose. Tampoco podrá usarlo como evidencia absoluta de invulnerabilidad respecto a las fallas reportadas, ya que existen varias razones por las que una falla superada puede reaparecer, desde por ejemplo el roll-back accidental de un administrador web a un versión anterior vulnerable, una brecha reabierta por una actualización de versión, la creación de puertas traseras bien disfrazadas, hasta el sabotaje interno por parte de un empleado o terceros, entre otros.
JaCkSecurity hace incapié que el SRRC tampoco está ligado a algún resumen criptográfico del producto evaluado, únicamente está asociado al reporte de vulnerabilidades del proyecto del servicio en cuestión.
Las pruebas de seguridad siempre necesitan ser revisitada, y en general la seguridad siempre necesita ser mejorada.
Nuevamente, el documento de certificado SRRC está intrínsecamente ligado al reporte, el cual está en manos del cliente, y el que se citan si las vulnerabilidades fueron (a) Corregidas, (b) No corregidas o (c) Ofuscadas. Las numerales que se citen el certificado SRRC obedecen únicamente a “(a)”, y no se citan las numerales no corregidas ni las ofuscadas.
JaCkSecurity emite el SRRC únicamente a pedido del cliente.
JaCkSecurity