Memorizzazione del codice di ordinamento / numero di conto sul sito web. Sicurezza?

Naviga le tue risposte
7

Le persone nel Regno Unito probabilmente comprenderanno meglio che codice di ordinamento è e in che modo il codice di ordinamento & i numeri di conto vengono utilizzati per i trasferimenti ecc., ma la domanda è pertinente per chiunque ne sia sicuro.

Giusto per chiarire:

Fornire a qualcuno il tuo codice di accesso e il numero di conto consente loro di trasferire denaro alla tua banca ... AFAIK non c'è modo di prelevare denaro dal proprio account.

Quindi hai ancora bisogno di un così alto livello di sicurezza su un sito come diresti per i numeri di carta di credito, ecc.? La stessa cura con cui prendi questi dati come faresti per i numeri delle carte?

Chiedo come un cliente ha richiesto la memorizzazione dei dati nel loro db - non hanno certificato SSL per gestire questi dati, ma importa? Vedere come tutto ciò che qualcuno potrebbe fare è trasferire denaro ...? Giusto?

    
posta kieran 07.04.2011 - 17:46
fonte

4 risposte

8

IANAL (I Am Not A Lawyer), ma DPA 1998 afferma

Encrypt any personal information held electronically that would cause damage or distress if it were lost or stolen.

link

Posso immaginare che le persone siano sconvolte se si accede illecitamente a qualsiasi informazione sull'account.

Se non sei ancora sicuro, chiedi al tuo responsabile.

    
risposta data 07.04.2011 - 17:50
fonte
4

C'era una storia interessante di un paio di anni fa quando Jemery Clarkson (della fama di Top Gear) ha sfidato i lettori a rubare denaro da lui usando solo i dettagli del suo conto bancario . Ha creduto la stessa cosa che hai fatto: che il peggiore che qualcuno potesse fare sarebbe stato depositare denaro nel suo conto.

Clarkson was forced to admit he was wrong after an unidentified prankster set up a £500 direct debit from the presenter's account in favour of charity Diabetes UK

Un po 'di ingegneria sociale e dettagli bancari è tutto ciò che devi sapere.

    
risposta data 07.04.2011 - 18:19
fonte
1

Se non puoi permetterti di ottenere un certificato SSL, in realtà non hai alcuna informazione di archiviazione aziendale quella personale online. Non avere SSL significa che non hai un addetto alla sicurezza per il personale, non stai tenendo il passo con le tue patch o controlli di sicurezza ... Ci sono un sacco di cose che seguono da un budget che non si allungherà di un paio cento dollari.

Certo, potrebbe essere più difficile impiegare in modo nefasto di un numero di carta di credito, ma i tuoi clienti si aspetteranno certamente che tu abbia una ragionevole cura delle informazioni. Consiglio vivamente di non archiviare tali informazioni e, senza SSL, non consiglierei nemmeno di raccoglierle.

    
risposta data 07.04.2011 - 18:03
fonte
0

Guarda in che cosa potrebbero applicarsi le leggi del Regno Unito. Potrebbero esserci leggi su questi dati che richiedono la stessa sicurezza delle carte di credito.

Scopri con certezza cosa può essere fatto con questa informazione se è finita nelle mani sbagliate.

Sembra che qualcosa mi aspetterei di essere sorvegliato se fossi il tuo cliente.

    
risposta data 07.04.2011 - 17:53
fonte

Leggi altre domande sui tag

Come sviluppatore professionista .NET, dovresti imparare a lavorare con MSIL usando la riflessione? [chiuso] Come posso rendere più efficiente il mio ambiente di sviluppo PHP?