我們是否必須符合 PCI 才能將社會安全號碼儲存在我們的託管數據庫中？

我們是否必須符合 PCI 才能將社會安全號碼儲存在我們的託管數據庫中？我們正在為南卡羅來納州的非營利組織託管一個 CRM 數據庫。

不會。PCI 範圍數據是信用卡號，通常稱為主帳號。（平底鍋）

詞彙表中的定義如下：

“主帳號”的首字母縮寫詞，也稱為“帳號”。唯一的支付卡號（通常用於信用卡或借記卡），用於辨識發行者和特定持卡人賬戶。

不過，如果位於美國，您可能會因儲存社會安全號碼而受到州和聯邦法律的約束，我建議您將其視為 PCI 範圍數據。如果您不符合 PCI，我會尋求適用的特定法律，並在您的環境中盡可能敏感地對待它。一個好主意是諮詢律師。

從專業的角度來看，我喜歡盡可能仔細地對待這樣的數據。我經常考慮如果我的行為被無意披露並儘可能負責任地行事，公眾會如何反應。

引用自：https://serverfault.com/questions/162214