我在一家在加拿大和亚洲设有办事处的猎头公司工作。我们将定制构建的 CRM 系统从我们自己在日本托管的服务器迁移到亚马逊托管服务，这意味着我们所有的数据现在都保存在美国的亚马逊服务器上。

数据包括姓名、出生日期、联系方式、当前和以前的工作地点、当前和以前的薪水、完整的简历、从候选人那里学到的信息的注释，这些信息可能来自阻止他们换工作的国内问题，以及对他们当前工作的机密见解雇主。基本上，您需要执行身份盗窃、有限的企业间谍活动或在某些情况下进行勒索所需的一切。虽然我没有确切的数字，但它在 25 到 50 万条不同完成状态的记录之间。

如果相关，来自用户的所有连接都通过 IP 过滤的 HTTPS。开发人员通过标准 Amazon SSH 策略进行连接。SNMP 和 NRPE 也可访问，但再次经过 IP 过滤。数据库未加密，服务器实例（文件和数据库）以纯文本形式复制到同一本地 Amazon 子网上的另一个服务器实例。

在日本时，所有数据都属于我们能够涵盖的日本法律。但是，如果在美国没有公司实体，我不知道我们是否打算在数据安全方面遵循任何法律、标准或审计。CRM 和数据现在在美国，会是美国的法律/标准吗？加拿大法律/标准，因为那是最近的实体，并且该办公室实际上维护着 CRM 系统？日本法律/标准作为日本办事处是最大的，并产生了大部分数据？一些我不知道的国际法律/标准？

如果可能，您能否在答案中提供相关信息/标准/专业机构的链接？如果你能指出我正确的方向，我很乐意做步法。