嗨伙计,我提供虚拟主机服务(共享和专用),并有我的共享主机客户之一提到需要一个SSL证书为他们的网站,他们正在收集表格中的保险报价,包括姓名和社会安全号码。 我的隐私感很刺耳,我很确定在共享系统上这样做不合法(在美国),但在PCI-DSS之外找不到任何东西来支持我的想法,但客户不是处理通过网站的付款,所以我不知道这是否适用。 我正在阅读大量的政策文件,人们build议尽量减less和pipe理内部的PII足迹,但作为主机,我不想让我的客户的所有客户处于可能的风险。 我不是一定要在这里寻求法律意见,但是也许有一些人和我处于类似的位置,可以提供一些经验法则或者指向正确的方向。
我甚至不会考虑在共享或VPS系统上这样做。
信息丢失/泄漏的风险太大了。 作为一个托pipe服务提供商,我也会非常害怕,可能会给他们一个便宜的专用盒子。
我提到自从你提到PCI-DSS以来你就在美国。 您可能想看看这里提供的HiPAA规则