個人の顧客データを保存するためのセキュリティ基準
私の国の特定の政府規制は、すべての非居住者のドナーに彼らの身分証明書(通常はパスポート)のコピーを提供することを義務付けています。
そのため、寄付者には、ウェブサイトで寄付を行う際にパスポートのコピーをアップロードするようお願いしています。 (その後、管理者によって内部的に検証されます)
画像は慎重に保存され、wwwで外部ユーザーが取得できないように対策を講じています(このデータへのアクセスは、組織内の数人に制限されています)。しかし、一部のドナーは、私たちが講じている安全対策にまだ懐疑的です。
質問:この情報を保存する方法に関するガイドラインを提供する業界全体の標準はありますか?これに関連する私たちの慣行を監査できる監査機関はありますか?クレジットカードのPCIは何ですか?
これに関しては、さまざまな国で独自の規制があります。たとえば、英国には1998年データ保護法( http://www.ico.org.uk/for_organisations/data_protection )があり、米国にはHIPAAがあります。 ( http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html )
また、EUなどの一部の地域では、加盟国にデータ保護規則が義務付けられています。
EY、KPMGなどのすべての主要なIT監査会社は、データ保護監査を行うことができます。