Sono a capo dell'IT per un'organizzazione di microprestiti. Facciamo piccoli prestiti a nuove imprese e in quanto tali dobbiamo raccogliere le dichiarazioni dei redditi di questi clienti e altri dati finanziari come parte del processo di richiesta. Attualmente questo viene fatto sia dai clienti che li lasciano fisicamente in ufficio, sia dall'invio di e-mail (ovviamente non molto sicuro!).
Dobbiamo passare molto tempo a sollecitare i candidati a procurarci tutti i documenti richiesti. Vorremmo essere in grado di scrivere un sistema software con una dashboard a cui il cliente può accedere, elencando ciascuno dei loro documenti ancora necessari e un pulsante di caricamento. Periodicamente i clienti ricevono un messaggio di posta elettronica con i documenti ancora necessari.
Ora potrei scrivere questo sistema abbastanza facilmente se conserviamo i documenti sul nostro VPS e nel nostro database. Ma la direzione (presumo giustamente?) È preoccupata che l'archiviazione dei documenti sul nostro server aumenterebbe la nostra responsabilità.
Quando ho integrato un modulo di verifica Stripe in un sito di e-commerce alcuni anni fa, Javascript intercettava l'invio del modulo, inviava il numero della carta di credito a Stripe e recuperava un token, che sarebbe poi stato salvato sul mio server. Il token potrebbe essere usato per caricare la carta, ma non c'era modo di ottenere il numero della carta dal token.
Qualcuno sa di un modo o di un servizio che consentirebbe qualcosa di simile per i documenti sensibili? Supponiamo che il modulo di invio possa prelevare il file allegato e inviarlo a un servizio, quindi il servizio rimanda i metadati relativi al file, ma non consente di controllare direttamente il contenuto dei file.
Non sembra esserci un modo per farlo con Box, Dropbox o Google Drive, e non credo che siano abbastanza sicuri comunque. Foldergrid.com sembra promettente, ma non sembra essere un modo per inviare un file dal filesystem dell'utente al loro server tramite Javascript. Javascript non può accedere al filesystem e i moduli html non possono inviare richieste Ajax con content-type di json.
Possiamo impostare "dropzones" una sola volta con Foldergrid in cui un utente può, dato un collegamento univoco, caricare file in una cartella senza effettuare l'accesso. Tuttavia con questo non è possibile sapere quando alcuni documenti sono stati caricati (noi vuoi inviare una notifica a un dipendente quando tutti i documenti sono caricati).
Forse dovremo mordere la pallottola e diventare PCI-compatibile o qualunque certificazione è necessaria per farlo in modo corretto sul nostro server, ma qualcuno ha qualche idea?