在跟供应商的合同中，金融企业应该添加一些关于额外的、数据泄露的保护措施。除了要求对数据泄露事件进行通告和报告之外，合同还应要求供应商在调查和补救类似的事件中积极配合。这样做很重要，因为数据泄露通告方面的法律法规和银行监管要求已经很明确的说明最终责任由金融机构承担。最后，金融机构必须自己测定出在供应商泄露事件中究竟发生了什么和给客户带来的损失风险，以及应该怎样做出反应。虽然能通过合同来规定供应商通告受到影响的个人，但是如果供应商发的通告不适用法律或者监管指导意见所要求的，那么金融机构最终要负责任。

　　因此，合同应该限制供应商（在适用法律允许的范围之内），避免供货商在金融机构不知情和没有允许的情况下给金融机构的客户派发数据泄露通知。是否派发数据泄露通知，通知中任何涉及机构名誉、客户关系和财政考虑以及法律和监管方面的内容，还有任何的风险评估和决策都必须遵守监管结构规定的金融机构必须遵从的突发事件应急预案。

　　金融机构应该咨询他们的律师，了解一些合同保护措施以便转移供货商数据泄漏引起的损失，尽管监管指导意见、PCI DSS或者法律法规并没有要求这样做。即使不算任何的第三方债务或者法律和监管机构的惩罚，数据泄漏带来的直接损失就能达到几百万美元。这些损失包括法律调查以确定什么数据以及谁的数据受到了威胁、关闭和重新发行帐户以及替换支付卡片、州立数据泄漏法律法规的检查以确定规则遵从义务、派发数据泄漏通知、还有，理所当然，身份遗失带来的欺诈损失等等各种成本。

　　金融机构应该在合同中规定如果在供应商那里发生敏感数据被非法访问或者使用的事情，还有如果供应商违反了适用法律或者合同中规定的机密和安全义务，那么供应商必须进行赔偿，确保金融机构不受损失。很明显，如果供应商没有足够的资金来满足赔偿要求，那么这样的赔偿条款是毫无意义的。这也是为什么联邦监管指导意见推荐额外的风险缓解措施，比如签订合同之前和合同执行期间对供应商的资金状况进行审查，以及要求供货商必须有适当的保险等。

　　供应商无疑将试图减少自己的责任（比如通过限制赔偿责任以及/或者通过法律习惯语言声明供货商不应该对丢失的数据负责等等），所以一定要小心谨慎的对这些条款展开谈判。至少，供应商应该赔偿与数据泄漏有关的成本和损失，以及由于供应商的疏忽或者其他的不当行为引起的损失，比如违反合同或者违反适用法律或者监管责任等。