大家好,我提供网络托管服务(共享和专用),我的一个共享托管客户提到他们的网站需要 SSL 证书,他们正在以表格形式收集保险报价,包括姓名和社会保险号。我的隐私意识很强烈,我很确定在共享系统上这样做是不合法的(在美国),但除了 PCI-DSS 之外找不到任何支持我的想法的东西,而且客户没有通过网站处理付款,所以我不确定这是否适用。我读了很多政策文件,其中人们建议在内部尽量减少和管理 PII 足迹,但作为主机,我不想让我的所有客户的客户都面临可能的风险。我在这里不一定寻求法律建议,但也许处于类似位置的人可以提供一些经验法则或为我指明正确的方向。
答案1
我甚至不会考虑在共享或 VPS 系统上这样做。
信息丢失/泄露的风险太大。作为托管服务提供商,我也会非常担心,可能会为他们提供一个便宜的专用盒子。
答案2
既然你提到了 PCI-DSS,我假设你在美国。你可能想看看可用的 HiPAA 规则这里