可签署 NDA,并在需求评审阶段明确数据安全与访问控制要求。