Sto lavorando per un cliente che conserva record di numeri di previdenza sociale nei propri database, numeri estratti da proiezioni e acquisiti automaticamente da società e altri dati finanziari. Alcuni milioni di SSN allegati a nomi, indirizzi, cronologia lavori, cronologia pagamenti ... ecc.
Mentre sto lavorando con il loro codebase, continuo a chiedermi se ci sono dei regolamenti di cui devono essere conformi. In questo momento gli SSN sono crittografati nel DB, ma chiunque può accedere alla propria app Web pubblica come amministratore con una password non sicura (Qualcosa di semplice come [email protected], pw: admin) e visualizzarli in testo semplice, e i dipendenti esistenti possono cercare SSN e visualizzare le informazioni sui possessori di numeri.
Esiste una sorta di conformità (simile a PCI per le informazioni di pagamento) che deve essere seguita / rispettata per SSN e informazioni personali?