Quali sono i requisiti o gli standard di conformità per un'azienda non statunitense che ospita dati personali negli Stati Uniti?

7

Lavoro per una compagnia di caccia con uffici in Canada e Asia. Abbiamo migrato il nostro sistema CRM personalizzato dai nostri server ospitati in Giappone a un servizio di hosting Amazon, il che significa che tutti i nostri dati sono ora conservati sui server Amazon negli Stati Uniti.

I dati includono nomi, date di nascita, dati di contatto, luoghi di lavoro attuali e precedenti, salario attuale e precedente, curriculum completo, note su informazioni apprese dai candidati che potrebbero essere qualsiasi cosa da questioni interne che impediscono loro di cambiare lavoro a intuizioni confidenziali nel loro attuale datore di lavoro. Fondamentalmente tutto ciò che sarebbe necessario per eseguire il furto di identità, spionaggio aziendale limitato o in alcuni casi ricatto. Anche se non ho il numero esatto, è compreso tra un quarto e mezzo milione di record in diversi stati di completamento.

Se rilevante, tutte le connessioni dagli utenti avvengono tramite HTTPS con filtro IP. Gli sviluppatori si connettono tramite la politica standard di Amazon SSH. Anche SNMP e NRPE sono accessibili ma di nuovo filtrati tramite IP. Il database non è crittografato e l'istanza del server viene replicata (file e database) in testo normale in un'altra istanza del server sulla stessa subnet Amazon locale.

Quando eravamo in Giappone, tutti i dati erano soggetti alla legge giapponese che eravamo in grado di coprire. Tuttavia, senza un'entità aziendale negli Stati Uniti, non ho idea di quali siano le leggi, gli standard o le verifiche che dovremmo seguire in merito alla sicurezza dei dati. Sarebbero le leggi / gli standard statunitensi come il CRM ei dati sono ora negli Stati Uniti? Leggi / standard canadesi in quanto è l'entità più vicina e l'ufficio mantiene effettivamente il sistema CRM? La legge / gli standard giapponesi come ufficio in Giappone è la più grande e ha generato la maggior parte dei dati? Alcune leggi / standard internazionali di cui non sono a conoscenza?

Se possibile, può fornire collegamenti alle informazioni / standard / organismi professionali pertinenti nelle risposte? Sono più che felice di fare il gioco di gambe se riesci a indicarmi la giusta direzione.

    
posta Nicholas Adams 15.07.2015 - 03:28
fonte

2 risposte

2

Penserei che non devi coprire la legge sulla privacy degli Stati Uniti se non hai clienti statunitensi o sei negli Stati Uniti.

Tuttavia, probabilmente dovrai conformarti alle leggi sulla privacy del paese o dei paesi in cui risiedi e / o lavori.

Fondamentalmente dovrai capire se la tua legge giapponese consente di archiviare i tuoi dati al di fuori dei tuoi confini e da un venditore che può essere potenzialmente costretto dalle forze dell'ordine statunitensi a cedere i tuoi dati.

Molto spesso non c'è una risposta facile a questo, quindi se è importante suggerirei di trovare un avvocato locale e parlarne con lui.

    
risposta data 25.10.2016 - 19:52
fonte
0

Nel regolamento sulla privacy canadese, gli enti pubblici non sono in grado di trasferire o memorizzare PII di cittadini al di fuori dei confini canadesi (dovrebbe attraversare il confine, perché i dati scambiati con gli Stati Uniti possono essere monitorati). Pertanto, nessuna delle organizzazioni governative o coronate in Canada utilizza AWS per alcuno scopo. La restrizione è così rigorosa che apparentemente Microsoft sta pianificando di aprire un centro dati per il servizio cloud di Azure per aiutare le organizzazioni canadesi a passare al cloud.

D'altra parte, il settore privato non ha tali restrizioni in Canada e possono migrare ad AWS, sapendo che i dati risiedono in un server all'interno del confine statunitense.

Per il Giappone, devi controllare le leggi sulla privacy di Japaneses, ma dubito che il settore privato si trovi di fronte a qualsiasi restrizione dove vogliono archiviare i loro dati.

    
risposta data 26.08.2015 - 00:36
fonte

Leggi altre domande sui tag