Un área muy común donde los negocios se comprometen con ciertas prácticas de seguridad son los comerciantes que contratan a compañías de tarjetas de crédito que requieren el cumplimiento de PCI . Donde tanto el cumplimiento de SOX como el de PCI difieren de su pregunta, es que la norma está establecida por un tercero independiente y las dos partes contratantes básicamente acuerdan cumplir con esa norma independiente.
Dado que la norma es objetiva y mantenida por un tercero, es posible que alguien audite a las empresas para verificar el cumplimiento, de hecho, la mayoría de los acuerdos con comerciantes exigen pruebas de cumplimiento de PCI.
Si bien puede ser una exageración, puede tener un contrato que requiera que su socio cumpla con el estándares NIST o Estándares Federales de Procesamiento de la Información (FIPS) . Al escribir un lenguaje simple como "La Firma X garantiza que cumplirá con el estándar X" en lugar de tratar de incorporar las disposiciones de un estándar en el contrato, la resolución sería mucho más simple y menos costosa en caso de incumplimiento o disputa debido a al tratar de discutir lo que dicen las disposiciones del contrato, se trata de una simple cuestión de que un experto externo se familiarice con el estándar al que se hace referencia para opinar sobre el cumplimiento de ese estándar.
Finalmente, no necesita exigir el cumplimiento de todo el conjunto de FIPS; por ejemplo, podría consultar FIPS 197 para el cifrado de datos y FIPS 112 para las contraseñas.