尽管很多监管指导的出处都是针对金融机构的信息安全合同要求的，这些要求的主要特点是他们是灵活的，基于风险的。也就是说，这些指导原则避免了指定在每个合同或者合同要求（例如某种加密标准）中使用某些技术。通常，这些指导原则甚至都不会使用“必须”这种词语，而是提醒金融机构他们“应该”考虑某些类型的合同保护（当然，那些和银行监管者打过交道的人知道他们所说的“应该”有的时候并不意味着那是可选择的）。

　　重点是，尽管需要某种形式的书面合同来保证供应商对用户信息的安全负责，监管组织担心的主要是预先通知的风险评估，例如，确保金融机构将风险级别作为对供应商的系统化考察流程的一部分，而且合同中需要合理并妥善的安全性度量，这里的合理基于已知的风险因素，例如和供应商共享的信息数量和性质。典型的基于风险的架构例如《Interagency Guidelines Establishing Standards for Safeguarding Customer Information》（《客户信息保护标准建立联合准则》），它于2001年由联邦银行机构和联邦贸易委员会联合起草，用于实施Gramm-Leach-Bliley法案（金融服务现代化法案）的安全要求。就合同而言，这一准则要求金融机构要“以合同形式要求它的服务提供商采取合适的方式保证符合这些指南要求的目标……”（例如，执行保护手段来降低发现的风险）。

　　其它的联邦准则增加了一些特定的信息安全要求，但是这些都是最基本的。例如，针对国有银行的第三方风险管理的OCC公告第2001-47号，就提供了银行需要考虑的合同条款的详细总结。在信息安全这个问题上，公告除了通常的保密措辞和对实施合适的安全措施的要求之外，还指出银行应该要求供应商向其透漏造成未经授权入侵的，并可能会实质性地影响银行和它的客户的安全漏洞，还有要报告这种入侵的影响和采取的补救措施。2004年美国联邦金融机构监理委员会（Federal Financial Institutions Examination Council - FFIEC）发布的《Outsourcing Technology Services IT Examination Handbook》（外包技术服务IT审查手册）也重复了这一要求。

　　2008年6月发布的《FDIC's Guidance for Managing Third-Party Risk》（FDIC的第三方风险管理指南），也有类似的条款：“处理机构客户的任何非公开的个人信息都必须符合机构自己的隐私政策，而且要符合适用的隐私法律法规。任何对安全性和保密信息的入侵，包括非授权入侵引起的潜在泄露，都应该被要求迅速并完全地向金融机构公开。”

　　在监管机构发布的准则之外，金融机构可能还要遵从国家数据安全法律和《Payment Card Industry Data Security Standard (PCI DSS 支付卡行业数据安全标准)》。这些地方指出的合同要求也是最低限度的。例如，2009年8月对马萨诸塞州规定201 CMR §17.00的修改使其符合了上述的跨部准则；拥有或者被授权使用马萨诸塞州居民个人信息的机构必须以合同形式要求第三方供应商实施并维护符合法规和联邦法规的合适的保护性安全手段。（不过，任何在2010年3月1日前签订的合同即使缺少这些条款也不会被认为是不合标准。）

　　PCI DSS第12.8号条款指出如果持卡人的数据被共享给一个服务提供商，该机构必须建立并维护管理供应商关系的策略和流程。在合同方面，这些策略和流程必须包括要求保持一个书面的协议来证明服务提供商对持有的持卡人数据的安全负责。

　　对准则的快速评估显示，对金融机构的供应商合同的安全性要求并不繁杂：“合理”或者“合适”的安全性措施加上对数据入侵事件的公开和报告。不过，对准则和完备的风险管理的更深入解读使我们有义务做得更多。

　　这些保护无需增加成篇的废话，尽管法律措辞还需要不可避免地协商，曾经（特别是在遵循PCI DDS的时代）处理过金融机构或个人信息的供应商应该已经习惯了这些需求，而且已经有了标准的响应机制。