Un'area molto comune in cui il contratto commerciale con determinate pratiche di sicurezza è rappresentato dai commercianti che stipulano contratti con società di carte di credito che richiedono la PCI conformità. Laddove sia la conformità SOX che PCI differiscono dalla tua domanda è che lo standard è impostato da una terza parte indipendente e le due parti contraenti accettano sostanzialmente di rispettare tale standard indipendente.
Poiché lo standard è oggettivo e mantenuto da una terza parte, è possibile che qualcuno verifichi la conformità delle aziende, in realtà la maggior parte degli accordi commerciali richiede test di conformità PCI.
Anche se potrebbe essere eccessivo, potresti avere un contratto che richiede che il tuo partner rispetti il NIST standard o Federal Information Processing Standards (FIPS) . Scrivendo un linguaggio semplice come "La ditta X garantisce che rispetterà lo standard X" invece di provare a incorporare le disposizioni di uno standard nel contratto, la risoluzione sarebbe molto più semplice e meno costosa in caso di violazione o contestazione a causa di cercando di discutere su quali siano le disposizioni del contratto, diventa semplice ottenere che un esperto di terze parti abbia familiarità con lo standard di riferimento per valutare la conformità a tale standard.
Infine non è necessario richiedere la conformità all'intero set di FIPS; ad esempio puoi fare riferimento a FIPS 197 per la crittografia dei dati e FIPS 112 per le password.