業務上的需要,接下來要跟一間APP公司合作
但今天老闆來詢問說,它們幫我們收集資料,那是否安全,
因我不是相關背景的,查詢Google也沒有很詳盡的內容與規範
所以特此想詢問說,不知道是否有一定的規範或是ckecklist
例如:
1:資料儲存地方
2:資料儲存方式
3:是否有異地備份
我想的到的問題,只有這些,不知道還有那些是必須要詢問的問題,
非常感謝~

蒐集資料使用另外還有個資法的問題

簽保密切結吧

貴公司是否有完善的資料政策.是否會有導致我方客戶資料外洩的危險性

ISO 27001 資訊安全管理系統驗證(給各位參考)

可能也要考慮應用系統的層面 或甚至網路架構？舉例來說程式的寫法 是否會讓系統容易入侵 可參考OWASP

如果他有收公司內部員工個人資料，那就有個資問題喔。問你們公司主管資安跟個資政策的部門，用你們公司的標準去看的話對你比較沒責任，如果你們公司沒有相關規範，那麼...用iso27001下去看你會要花超多時間，因為相關機制都沒建立

27001可以挑選你覺得需要的部分就好...

資料使用範圍 接觸者 泄漏條款

是收集data還是file? 差很多

小弟做資安技術的 ISO這種制度沒辦法驗證技術問題證據都可以造假事後補 建議你還是送專門檢測單位驗證吧很多App都非常不安全 要送去做滲透才知道廠商有沒有做好

反編譯混淆，憑證綁定，client加密存放