顧客がインターネット経由で直接アクセスするWebベースのCRMシステムは、外部からの脅威や不正アクセスから保護するために、安全で隔離された環境でホストする必要があります。また、WebベースのCRMシステムは信頼性が高く、定期的にバックアップされている必要があります1。
システムを外部のサードパーティサービスプロバイダーのサーバー（A）またはサービスプロバイダーが管理するハイブリッドクラウドプラットフォーム（B）にホストすることは、サービスプロバイダーが適切なセキュリティ対策とサービスレベル契約を締結している場合、監査人にとって懸念事項とはならない可能性があります。監査人は、CRMデータをサービスプロバイダーに委託する前に、そのセキュリティ管理策と契約条件を検証する必要があります23。
企業ネットワークの非武装地帯（DMZ）内にシステムをホストすることは、インターネットなどの信頼できないネットワークからCRMシステムにさらなるセキュリティ層を提供するために一般的に行われています。DMZは、CRMシステムを内部ネットワークから分離し、セキュリティゲートウェイ4567を使用して外部ネットワークからの受信トラフィックをフィルタリングする境界ネットワークです。
企業ネットワークの内部セグメント（D）内にシステムをホストすることは、CRMシステムと内部ネットワークがインターネットからの潜在的な攻撃にさらされるため、監査人にとって懸念事項となります。CRMシステムは、DMZまたはファイアウォールによる保護なしにインターネットから直接アクセスされるべきではありません。これは、CRMデータと内部ネットワークの機密性、整合性、および可用性を損なう可能性があります78。