Мы гордо отвечаем, что первая.
Заявлять о категории защищённости, зная, что у вас есть критические уязвимости, и никаких реальных исследований не проводя (хотябы внутренних) - наглая ложь.
И за такое по-хорошему надо гнать ссаными тряпками.
Вопрос: есть ли какие-то программы сертификации веб-серверов? Чтобы в конце получить документ, подтверждающий степень защищенности.
Скорее всего, вас интересует сертификация ФСТЭК, если ваша система будет работать с гостайной и всяким таким.
https://softline.ru/about/blog/sertifikatsiya-fste...
Но есть ещё варианты:
- Аудит ИБ (если сертификат не нужен, но надо проверить защищённость)
- PCI DSS (если собираетесь принимать платежи)
- Сертификация от ФСБ (если вы разрабатываете средства защиты информации)
