业务上的需要,接下来要跟一间APP公司合作
但今天老板来询问说,它们帮我们收集资料,那是否安全,
因我不是相关背景的,查询Google也没有很详尽的内容与规范
所以特此想询问说,不知道是否有一定的规范或是ckecklist
例如:
1:资料储存地方
2:资料储存方式
3:是否有异地备份
我想的到的问题,只有这些,不知道还有那些是必须要询问的问题,
非常感谢~

蒐集资料使用另外还有个资法的问题

签保密切结吧

贵公司是否有完善的资料政策.是否会有导致我方客户资料外泄的危险性

ISO 27001 资讯安全管理系统验证(给各位参考)

可能也要考虑应用系统的层面 或甚至网络架构？举例来说程式的写法 是否会让系统容易入侵 可参考OWASP

如果他有收公司内部员工个人资料，那就有个资问题喔。问你们公司主管资安跟个资政策的部门，用你们公司的标准去看的话对你比较没责任，如果你们公司没有相关规范，那么...用iso27001下去看你会要花超多时间，因为相关机制都没建立

27001可以挑选你觉得需要的部分就好...

资料使用范围 接触者 泄漏条款

是收集data还是file? 差很多

小弟做资安技术的 ISO这种制度没办法验证技术问题证据都可以造假事后补 建议你还是送专门检测单位验证吧很多App都非常不安全 要送去做渗透才知道厂商有没有做好

反编译混淆，凭证绑定，client加密存放