Андрей

Категорически не советую хранить сканы паспортов на сервере, если есть возможность уйти от этого организационными мерами.

Если интересует перечень технических требований, которые должны быть выполнены, то читайте Приказ ФСТЭК №21 (особенно табличку в самом конце). Требуемый уровень защищенности у Вас скорее всего самый маленький, т.к. курьеров не более 100.000 человек (определить уровень необходимо на основании Постановления Правительства РФ №1119), но даже с ним там мероприятий немало.

Советую ознакомиться с документами здесь и здесь,
а также прочитать Приказ ФСТЭК 17 или 21 - в зависимости от того, государственное у Вас предприятие или нет.

1) Вы являетесь оператором персональных данных - подайте Уведомление в РосКомНадзор.
2) Вы должны иметь подтверждение того, что пользователь согласился на те виды обработки данных, которые Вы осуществляете.
3) Подсистема безопасности может быть разработана Вами самостоятельно на основании Приказа ФСТЭК №21 (если Вы - коммерческая структура), либо заказана у любого лицензиата ФСТЭК "под ключ"
-----
Лицензия ФСТЭК лично Вашей организации - не нужна, т.к. Вы не оказываете услуг по защите перс.данных другим лицам.

https + Согласие физ.лица на обработку перс.данных (из 8 обязательных пунктов согласно 152-ФЗ) + Политика обеспечения безопасности перс.данных должна быть выложена на сайте.

Желательно БД хранить на территории фирмы, а данные пересылать сразу с сайта и на нем не хранить. Так гораздо проще выполнить требования Приказа №21 ФСТЭК, который сейчас действует в этой области.