Я занимаюсь разработкой веб-приложения (PHP), которое может хранить конфиденциальную / конфиденциальную информацию о компании и предназначено для средних и крупных предприятий.
При разработке этого приложения моя команда принимает все меры безопасности, которые мыМожно подумать, в том числе:
- Очистка ввода пользователя для запросов SQL (с использованием библиотек ввода / базы данных codeigniter)
- Принудительное использование HTTPS через HTTP-перенаправления
- Хеширование пользовательских паролей с помощью phpass framework (CRYPT_BLOWFISH) (также проверка паролей <72 символов для предотвращения DoS-атак) </li>
- Использование базы данных для хранения данных сеанса вместе с быстрым истечением сеанса (<10 минут), безопасные сеансы (отправляются только по протоколу HTTPS) и зашифрованные файлы cookie, а также соответствующие токены IP & User Agent </li>
- CSRF (Подделка межсайтовых запросов)
- Использование сторонней организации для хранения иобработать любые данные кредитной карты
Во-первых, есть ли какие-либо меры безопасности, которые я мог упустить из виду?Тем не менее, мой главный вопрос: существуют ли авторитетные аудиторские органы / группы / организации, которые могли бы провести аудит нашего приложения и подтвердить, что мы используем лучшие (или, по крайней мере, принятые в отрасли стандартные) меры безопасности?Мы хотели бы использовать такую аккредитацию в качестве точки продажи для нашего программного обеспечения.