Trabajo para una empresa de cacería de cabezas con oficinas en Canadá y Asia. Migramos nuestro sistema CRM personalizado desde nuestros propios servidores alojados en Japón a un servicio de alojamiento de Amazon, lo que significa que todos nuestros datos ahora se guardan en los servidores de Amazon en los Estados Unidos.
Los datos incluyen nombres, fechas de nacimiento, datos de contacto, lugares de trabajo actuales y anteriores, salario actual y anterior, hojas de vida completas, notas sobre la información obtenida de los candidatos que puede ser cualquier cosa, desde problemas domésticos que les impidan cambiar de trabajo a información confidencial. en su actual empleador. Básicamente, todo lo que necesita para realizar robos de identidad, espionaje corporativo limitado o, en algunos casos, chantaje. Aunque no tengo el número exacto, está entre un cuarto y medio millón de registros en diferentes estados de finalización.
Si es relevante, todas las conexiones de los usuarios se realizan mediante HTTPS filtrado por IP. Los desarrolladores se conectan mediante la política estándar de Amazon SSH. SNMP y NRPE también son accesibles, pero nuevamente se filtran por IP. La base de datos no está cifrada y la instancia del servidor se replica (archivos y base de datos) en texto sin formato a otra instancia del servidor en la misma subred local de Amazon.
Cuando estábamos en Japón, todos los datos caían bajo la ley japonesa que pudimos cubrir. Sin embargo, sin una entidad corporativa en los EE. UU., No tengo idea de qué sucede con las leyes, estándares o auditorías que debemos seguir con respecto a la seguridad de los datos. ¿Serían las leyes / estándares de los EE. UU. Como el CRM y los datos están ahora en los EE. ¿Las leyes / estándares canadienses como esa es la entidad más cercana y esa oficina en realidad mantiene el sistema CRM? ¿Leyes / estándares japoneses, ya que la oficina de Japón es la más grande y ha generado la mayoría de los datos? Algunas leyes / normas internacionales que desconozco?
Si es posible, ¿puede proporcionar enlaces a la información / normas / organismos profesionales relevantes en sus respuestas? Estoy más que feliz de hacer el trabajo de pies si me puede orientar en la dirección correcta.