Come conservare le informazioni bancarie, raccolte sul sito Web, in modo sicuro e implementare la crittografia?

Naviga le tue risposte
5

Quindi ho questo sito nel quale chiederò agli utenti di inserire le seguenti informazioni bancarie.

  1. Nome del titolare del conto bancario:
  2. Numero di conto bancario:
  3. Numero di routing a 9 cifre:

Ho bisogno di queste informazioni dagli utenti per pagarle tramite assegno. Ed è necessario che io li memorizzi sul mio server (sto usando Apache) e lo mostro solo per l'amministratore.

Ho una conoscenza molto limitata della sicurezza e della crittografia.

Per favore dimmi come renderlo sicuro in quanto non sufficientemente crittografato. Forse dovrebbe esserci una protezione aggiuntiva per la password nella pagina in cui vengono visualizzate queste informazioni?

Oh, gli standard PCI si applicano anche alle informazioni bancarie o solo alle informazioni sulla carta di credito? Se si applica anche alle informazioni bancarie, devo assicurarmi di seguire i requisiti n. 3 e n. 4, corretto?

Ecco la tecnologia che sto utilizzando:

Server: Apache

CMS: Drupal

Frameworks: PHP

Aiutatemi!

    
posta user19763 17.01.2013 - 03:44
fonte

2 risposte

7

Non sei nel raggio del PCI per avere i numeri di conto bancario. Potresti dover affrontare altri requisiti normativi, tra cui problemi generali di protezione dei dati, a seconda della tua regione e del tuo tipo di attività.

Detto questo, molti requisiti PCI costituiscono buone linee guida quando si progetta e si utilizza un'applicazione che gestisce dati sensibili.

Quindi, dal punto di vista dell'architettura dell'app, potresti prendere in considerazione problemi come:

  • inserire il database su un server separato, potenzialmente con i confini della rete tra di loro
  • crittografia dei dati, utilizzando una chiave che non è memorizzata nello stesso posto dei dati; potenzialmente, la tokenizzazione (anche se manuale)
  • separare l'interfaccia di amministrazione da qualsiasi accesso a una base di utenti più ampia, potenzialmente su un server diverso e applicare le restrizioni di accesso in modo affidabile (ad esempio regole del firewall)

e così via. L'obiettivo è quello di garantire che un compromesso su un'interfaccia ampiamente disponibile (es. Sito web pubblico) non si diffonda per dare pieno accesso ai dati sensibili nel database.

    
risposta data 17.01.2013 - 20:27
fonte
5

I've very very limited knowledge of security and encryption.

Quindi non tentare di memorizzare le informazioni bancarie da soli. Questo è simile a non avere familiarità con la conoscenza della medicina, ma il tentativo di fare un intervento chirurgico.

Assumi un esperto di sicurezza per sviluppare (o implementare un sistema sicuro esistente) per te o assumere una terza parte per l'elaborazione del pagamento / pagamento. Se ti stai chiedendo se ciò che stai facendo è conforme alle normative pertinenti, consulta un avvocato.

Ci sono molti modi in cui puoi introdurre vulnerabilità di sicurezza quando non sai cosa stai facendo. Potresti essere responsabile di eventuali attacchi al tuo sistema. Se qualcuno ha hackerato il tuo database, potrebbero potenzialmente reindirizzare i pagamenti agli account che controllano? O modificare gli importi dei pagamenti?

Vedi anche:

risposta data 18.01.2013 - 22:44
fonte

Leggi altre domande sui tag

Il malware può nascondere la propria attività di rete da Resource Monitor (perfmon)? Se una porta è chiusa, come mai puoi ancora usarla?