8.2 行业标准
有很多行业标准是强制客户遵循的。以下列表常用于说明筹集资金的产品和服务是符合要求的。
-
健康保险便利和责任法案(HIPAA,Health Insurance Portability and Accountability Act)
它要求采取适当的控制,来保证医疗保健交易记录和管理信息系统能够保护可识别个体的电子健康信息。不符合HIPAA规范不会直接导致罚款,不过会有一些附带风险,比如不符合HIPAA可能会导致民事责任或品牌受损。
-
联邦信息处理标准(FIPS,Federal Information Processing Standards)
它们是用于保护由政府机构和承包商发送的信息而开发的美国计算机安全标准。
-
联邦信息安全管理法案(FISMA,Federal Information Security Management Act)或美国国家标准与技术研究院(NIST,National Institute of Standards and Technology)
FISMA和NIST专门出版物800-153和800-137定义了一个基于支持联邦运营的特定资源和固定资产来保证信息安全控制有效性的框架。
-
北美电力可靠性公司(NERC,North American Electric Reliability Corporation)
它制定了标准的用于控制或影响北美大电力系统可靠性的关键基础设施保护(CIP,Critical Infrastructure Protection)
。经联邦能源管理委员会(FERC,Federal Energy Regulatory Commission)
批准,所有加入到美国国家大电网的组织都必须遵循这些标准。
-
支付卡行业数据安全标准(PCI-DSS,Payment Card Industry Data Security Standard)和支付应用数据安全标准(PA-DSS,Payment Application Data Security Standard)
这些标准是为那些需要处理持卡人信息的组织设立的,包括那些处理主要借记卡、信用卡、预付卡、电子钱包、ATM和POS卡等持卡人信息的组织。
-
萨班斯-奥克斯利法案(SOX,Sarbanes-Oxley Act)
它规定了严格的改革措施来增强企业的财务公开以避免账目欺诈。