記得上個月曾經看過一個合約,
如果違反保密協定,
罰款一百萬,
(案子做完才2萬多)
原本昏迷中馬上就醒了!
你讓他在裡面加這一條,
他應該會答應你吧.

以技術面來說的話，最基本的方式就是
「客戶資料寫進資料庫時多一層加密動作」。
起碼先做到這一步，再來繼續想下一步吧！

數位資產如果毫無價值, 即使洩漏也不痛不癢...
既然洩漏會痛, 必然有其財務上的等值價值存在.

請客戶自行估算其客戶資料的價值, 訂在罰則內就好了.

罰則太高, 當然沒有廠商敢接, 或者來接的廠商會報出天價 (人家也是懂得規避風險的), 能接受就做; 兩次三次...找不到廠商敢接, 就看客戶是否願意降罰則? 降到廠商願意承擔風險的程度, 自然就找得到勇者來接案.

或者, 客戶願意相信安全認證, 可以要求廠商通過 ISO 27001/27002, 27017/27018 等認證之後, 再來接案..

不然, 還有資安險可以買:
中小企業也有適用的資安險，明台產險推因應個資新法的保單

用罰款的方式去取信客戶是可以 但有些傻
台灣的案子 基本上是一直砍價的
到最後利潤也會越來越少
你會沒信心 我想公司的資安狀況也沒做的多好
倒不如選擇一些折衷的方式
一種是專案上雲端 雲端廠商那已經規劃了一系列的資安作法
只看你會不會用雲端的方式去保護數位資產
這方式會比較好算成本，疊回去給客戶

或是導入一些次世代防火牆，買個防護授權
用資安大廠的防火牆取信客戶
但是這要找到很有能力的廠商 而且最好是大公司
比較不會搞爛案子沒有防護效果

ISO的部分我不太建議 太花錢導入 而且雖然有督導
但是實際內部怎麼玩的沒有人知道
這種方式取信外人很好 但是內部的明眼人通常最知道又出包了
因為內部通常會有些惡搞的主管和不重視資安的行為
有些公司就真的導ISO為了取信客戶，可是內部的資安意識低落到不可思議

客戶的擔心不是沒有原因的，

我們公司老闆對這種資料也很敏感，原本工程師說要把備份的資料拿回他們公司做轉換, 老闆根本不可能同意的，最後只好請工程師來駐點處理。

還有一點，老闆會打聽同業是跟哪一家軟體廠商配合的，他就不找同一家
所以軟體公司經常愛說他們做過哪些行業的哪些客戶，一方面是要說明他們在這行業的實力，但也一方面嚇跑了一些人。

個人曾經合作及建議的方式如下

1.簽定保密合約是必要的。至於罰款金額，並不直接明定。
而是條列依損害程度最低為合約費用的10倍。

2.我之前接的是醫院的部份。並不能直接要求客戶資料。其實他們也匯不出來，因為還算很大。
所以我當時接下案子時，是只要求他們現在的資料庫節構。其實我合約上有明定我不負保密的責任。因為我開發並不需要你們的隱密的資料。所以我不需要你們給我資料。只是這招只能對已有現有資訊站人員。也就是要有至少懂一些皮毛的人存在。

題外話：
個人以上的話並非是對開板主說的。其實認真來說，我個人對於所謂的保密條約很感冒。
雖然我之前也確實接過不少有客戶資料的案子過。
也遇過業主硬要要求我要簽定這個保密條約。
我那時跟業主說過，能否保密我不能給你保証。至少無論如何，我看過了你也就算洩密了。
就算是因為工作需要。我只能保証我不會洩密，但我不能保証你們其它人不會洩密。
所以這樣的保密條約太過沉重。要嘛，你們去生成無機密資料的東西給我。要嘛就是直接相信我。
要不然我都會覺得是在挖抗給我跳。

保險是買來出意外理賠的，並不能因此避免意外的發生。
保密協定也是。
沒有密不透風的窗，更沒有穿不透的牆。

感覺弦外之音是沒有合作的意願,加油繼續努力。
為何這麼說,若在意資安基本不會跟個人或個人工作室合作,且資料需要離開公司交付給外人,若有資安顧慮的這點大概就過不了了.
再者資安不是單靠部份層面就能防陼,若要全面做到以一己之力難以達成。