AndyMac ha proporcionado una excelente respuesta si trabaja con datos de tarjetas de crédito de clientes. Si maneja los datos del cliente, pero no los datos de la tarjeta de crédito, puede buscar el Control de la Organización de Servicios ( SOC 1, SOC 2 ) estándares publicados por el AICPA para orientación autorizada adicional. Desde el idioma de su publicación, parece que está trabajando en la capacidad de una organización de servicio, por lo que esta guía debería ser valiosa para usted.
Uno de los principios de confianza de SOC 2 es Confidencialidad definido como
La protección de los datos acordados con el cliente como confidencial de
Acceso y divulgación no autorizados.
Dependiendo del servicio que ofrezca su empresa a los clientes, la gerencia de su compañía decidirá cuál de los Principios de Fideicomiso del SOC 2 se aplica en una carta formal de representación de la gerencia. Si la confidencialidad es uno de los seleccionados, la administración de su empresa tendría que implementar controles que cumplan con los criterios dados con CC como se presenta en este document . Como ejemplo, el almacenamiento seguro de los datos del cliente se abordaría en esta norma de confidencialidad en CC 6.1:
La entidad implementa software de seguridad de acceso lógico, infraestructura y arquitecturas sobre activos de información protegidos para protegerlos de los eventos de seguridad para cumplir con los objetivos de la entidad.
Por lo tanto, aunque puede que no haya controles exactos (y con razón en mi opinión) sobre cómo para proteger los datos de los clientes, existen estándares sobre qué se debe cumplir Para que la protección de datos sea considerada confidencial. Estas normas SOC 2 tienen peso debido al informe SOC 2 emitido a los clientes que deben ser auditados por auditores independientes como yo.