Estoy trabajando para un cliente que mantiene registros de números de seguridad social en sus bases de datos, números extraídos de exámenes de detección y capturados automáticamente de compañías y otros datos financieros. Unos pocos millones de números de Seguro Social adjuntos a nombres, direcciones, historial de trabajo, historial de pagos, etc., etc.
A medida que estoy trabajando en su código base, sigo preguntándome si hay algún reglamento que deban cumplir. En este momento, los SSN están cifrados en la base de datos, pero cualquier persona puede iniciar sesión en su aplicación web pública como administrador con una contraseña insegura (algo tan simple como [email protected], pw: admin) y verlos en texto sin formato, y los empleados existentes pueden buscar los SSN y ver información sobre los titulares de los números.
¿Hay algún tipo de cumplimiento (similar a PCI para la información de pago) que deba cumplirse o cumplirse con los SSN y la información personal?