Lavoro per una compagnia di caccia con uffici in Canada e Asia. Abbiamo migrato il nostro sistema CRM personalizzato dai nostri server ospitati in Giappone a un servizio di hosting Amazon, il che significa che tutti i nostri dati sono ora conservati sui server Amazon negli Stati Uniti.
I dati includono nomi, date di nascita, dati di contatto, luoghi di lavoro attuali e precedenti, salario attuale e precedente, curriculum completo, note su informazioni apprese dai candidati che potrebbero essere qualsiasi cosa da questioni interne che impediscono loro di cambiare lavoro a intuizioni confidenziali nel loro attuale datore di lavoro. Fondamentalmente tutto ciò che sarebbe necessario per eseguire il furto di identità, spionaggio aziendale limitato o in alcuni casi ricatto. Anche se non ho il numero esatto, è compreso tra un quarto e mezzo milione di record in diversi stati di completamento.
Se rilevante, tutte le connessioni dagli utenti avvengono tramite HTTPS con filtro IP. Gli sviluppatori si connettono tramite la politica standard di Amazon SSH. Anche SNMP e NRPE sono accessibili ma di nuovo filtrati tramite IP. Il database non è crittografato e l'istanza del server viene replicata (file e database) in testo normale in un'altra istanza del server sulla stessa subnet Amazon locale.
Quando eravamo in Giappone, tutti i dati erano soggetti alla legge giapponese che eravamo in grado di coprire. Tuttavia, senza un'entità aziendale negli Stati Uniti, non ho idea di quali siano le leggi, gli standard o le verifiche che dovremmo seguire in merito alla sicurezza dei dati. Sarebbero le leggi / gli standard statunitensi come il CRM ei dati sono ora negli Stati Uniti? Leggi / standard canadesi in quanto è l'entità più vicina e l'ufficio mantiene effettivamente il sistema CRM? La legge / gli standard giapponesi come ufficio in Giappone è la più grande e ha generato la maggior parte dei dati? Alcune leggi / standard internazionali di cui non sono a conoscenza?
Se possibile, può fornire collegamenti alle informazioni / standard / organismi professionali pertinenti nelle risposte? Sono più che felice di fare il gioco di gambe se riesci a indicarmi la giusta direzione.