Estoy creando una aplicación web alojada (SaaS) que almacena el PII como nombre, dirección de correo electrónico y empleador del usuario. A partir de ahora, no tengo la intención de almacenar números de tarjetas de crédito, números de cuentas bancarias, números de seguridad social, etc.
Me gustaría poder afirmar que mi servicio sigue las prácticas de seguridad "estándar de la industria", pero no estoy muy claro qué significa esto hoy. Por ejemplo, ¿la SHA-1 o MD5 con una contraseña que contiene una sal que está correctamente salada sigue siendo considerada estándar de la industria y aceptable?
En general, ¿qué pautas siguen las personas para determinar las prácticas "estándar de la industria" desde todos los ángulos, para que 1) esté adecuadamente protegido contra actividades maliciosas y 2) no sea criticado en los tribunales si alguna vez lo demandan por una fuga de datos? .
Además, ¿cómo cambia esto si almacena una PII más sensible como un número de seguridad social?