¿Cuáles son los requisitos o estándares de cumplimiento para una empresa no estadounidense que hospeda datos personales en los EE. UU.?

Navega tus respuestas
7

Trabajo para una empresa de cacería de cabezas con oficinas en Canadá y Asia. Migramos nuestro sistema CRM personalizado desde nuestros propios servidores alojados en Japón a un servicio de alojamiento de Amazon, lo que significa que todos nuestros datos ahora se guardan en los servidores de Amazon en los Estados Unidos.

Los datos incluyen nombres, fechas de nacimiento, datos de contacto, lugares de trabajo actuales y anteriores, salario actual y anterior, hojas de vida completas, notas sobre la información obtenida de los candidatos que puede ser cualquier cosa, desde problemas domésticos que les impidan cambiar de trabajo a información confidencial. en su actual empleador. Básicamente, todo lo que necesita para realizar robos de identidad, espionaje corporativo limitado o, en algunos casos, chantaje. Aunque no tengo el número exacto, está entre un cuarto y medio millón de registros en diferentes estados de finalización.

Si es relevante, todas las conexiones de los usuarios se realizan mediante HTTPS filtrado por IP. Los desarrolladores se conectan mediante la política estándar de Amazon SSH. SNMP y NRPE también son accesibles, pero nuevamente se filtran por IP. La base de datos no está cifrada y la instancia del servidor se replica (archivos y base de datos) en texto sin formato a otra instancia del servidor en la misma subred local de Amazon.

Cuando estábamos en Japón, todos los datos caían bajo la ley japonesa que pudimos cubrir. Sin embargo, sin una entidad corporativa en los EE. UU., No tengo idea de qué sucede con las leyes, estándares o auditorías que debemos seguir con respecto a la seguridad de los datos. ¿Serían las leyes / estándares de los EE. UU. Como el CRM y los datos están ahora en los EE. ¿Las leyes / estándares canadienses como esa es la entidad más cercana y esa oficina en realidad mantiene el sistema CRM? ¿Leyes / estándares japoneses, ya que la oficina de Japón es la más grande y ha generado la mayoría de los datos? Algunas leyes / normas internacionales que desconozco?

Si es posible, ¿puede proporcionar enlaces a la información / normas / organismos profesionales relevantes en sus respuestas? Estoy más que feliz de hacer el trabajo de pies si me puede orientar en la dirección correcta.

    
pregunta Nicholas Adams 15.07.2015 - 03:28
fuente

2 respuestas

2

Pensaría que no tiene que cumplir con la ley de privacidad de EE. UU. si no tiene clientes de EE. UU. u opera en los EE. UU.

Sin embargo, es probable que tenga que cumplir con las leyes de privacidad del país o países en los que reside o opera.

Básicamente, tendrá que averiguar si su ley japonesa permite que sus datos se almacenen fuera de sus fronteras, y un proveedor que potencialmente pueda ser obligado por las agencias de cumplimiento de la ley de EE. UU. a entregar sus datos.

La mayoría de las veces no hay una respuesta fácil a esto, así que si es importante, te sugiero que busques un abogado local y lo comentes con él.

    
respondido por el averell 25.10.2016 - 19:52
fuente
0

En la regulación de privacidad de Canadá, los organismos públicos no pueden transferir o almacenar la PII de los ciudadanos fuera de las fronteras canadienses (debe cruzar la frontera, ya que los datos intercambiados a EE. UU. pueden ser monitoreados). Por lo tanto, ninguna de las organizaciones gubernamentales o de la corona en Canadá utiliza AWS para ningún propósito. La restricción es tan estricta que, aparentemente, Microsoft planea abrir un centro de datos para el servicio de nube de Azure para ayudar a las organizaciones canadienses a pasar a la nube.

Por otra parte, el sector privado no tiene tales restricciones en Canadá, y pueden migrar a AWS y, de hecho, saber que los datos residen en última instancia en un servidor dentro de la frontera de EE. UU.

Para Japón, debe verificar las leyes de privacidad de Japón, pero dudo que el sector privado se enfrente a cualquier restricción en la que quieran almacenar sus datos.

    
respondido por el Goli E 26.08.2015 - 00:36
fuente

Lea otras preguntas en las etiquetas

Limitar el inicio de sesión simultáneo para los administradores del sistema en el dominio de Windows ¿La activación de EnableLinkedConnections representa un riesgo para la seguridad?