La mia azienda è B2B, i nostri servizi includono l'hosting di dati sugli utenti dei nostri clienti.
Le leggi sulla protezione dei dati sono importanti per noi e dobbiamo osservarle attentamente, poiché i nostri clienti richiedono giustamente che i dati dei loro utenti siano al sicuro.
Stiamo cercando di ottenere la certificazione ISO 27001 per 2 motivi principali:
-
Impegnati a seguire le regole e le metodologie che ci aiutano a mantenere tali dati sicuri
-
Come strumento di vendita: in teoria se siamo certificati ISO 27001 i potenziali clienti si fidano di noi più facilmente i loro dati
Quindi ci sono 2 set di informazioni: i dati degli utenti dei nostri clienti, che è fondamentale per essere protetti, e altri dati, come il nostro database dei contatti, le nostre attività interne e il calendario e il calendario dei progetti, le presentazioni di vendita, ecc. che finora abbiamo creato principalmente tramite strumenti online come un CRM basato sul Web, Google Calendar e fogli di calcolo, EverNote, ecc.
Infine la mia domanda: la norma ISO 27001 deve coprire tutti i dati e le procedure in tutta l'azienda oppure può essere applicata solo ai dati degli utenti dei nostri clienti principali e più importanti e a tutto il resto (strumenti online come Google Calendar, un CRM online, Skype, Evernote ...) possiamo ancora utilizzare, a condizione che non pubblichiamo nessuno dei dati principali attraverso questi strumenti? Non ci è stato detto altro Skype o fogli di lavoro online, il CRM deve essere ospitato da noi, qualsiasi altro servizio basato sul Web come Evernote o simile è vietato. Il che è piuttosto scomodo perché in genere c'è poca scelta in termini di strumenti che puoi ospitare per avere il controllo assoluto sui dati.