Mi inicio finalmente se enfrenta a la responsabilidad potencial de manejar la PII, y nos preocupa hacerlo correctamente desde una perspectiva de riesgo, pero también para que lo hagamos correctamente.
¿Cuál sería el mejor enfoque si quisiéramos hacerlo nosotros mismos?
Actualmente no contamos con un ingeniero de seguridad, pero estamos operando de manera relativamente segura y en la plataforma de nube de Google. Hemos tomado buenas decisiones de diseño sobre el funcionamiento de la seguridad de nuestra aplicación, pero es posible que tengamos que comenzar a manejar la PII, por lo que queremos asegurarnos de que, si alguna vez está en reposo, estemos cubiertos.
Sé que Google ofrece certificaciones y documentos técnicos sobre su seguridad, pero supongo que también deberíamos obtener los nuestros, a través de un auditor externo.
Cualquier descripción de cómo hacerlo sería sumamente útil, desde las mejores prácticas y consideraciones hasta las implementaciones obligatorias.