Fai: usa il centro dati dei centri bancari. Lascia che si assumano l'onere della sicurezza fisica. Hanno bisogno di fornire qualcosa con la loro infrastruttura IT per la conformità. Fino a quando non è nel loro ambiente, è sufficiente ospitare localmente su un'unità crittografata con dati fittizi.
No: usa qualsiasi ambiente cloud. Utilizzare un host dedicato e gestito. Lascia che il cliente faccia il conto.
Esegui: ricontrolla le migliori pratiche della libreria pg_crypto e controlla questa parola per parola.
link
Fai: leggi in generale le coppie di chiavi, i sali e gli hash qui: link
Fai: aggiungi alcuni autenticatori come domande di sicurezza e consenti il rilevamento automatico di comportamenti sospetti come l'accesso dal nuovo IP, la verifica del servizio in doppio cieco (il servizio clienti non può vedere le risposte, digita solo le sfide di sicurezza dei clienti e vedi se passato o fallito alla fine)
Esegui: controlli periodici di sicurezza. Suggerire alle ditte esterne di assisterti e tamponare la tua proposta con il costo aggiuntivo. Una piccola operazione di e-commerce (solo parlando di iscrizione online, e pagandola per l'ex.) Costa circa $ 5000 a verifica annuale da parte di un'azienda riconosciuta.
Fai: leggi gli attacchi MITM. Impedisci ai browser non aggiornati o ai certificati autofirmati di non utilizzare mai il sito. Preferisci utilizzare una CA altamente affidabile e non consentire mai certificati con caratteri jolly, certificati Express o certificati obsoleti sul lato server. Tutto ciò che è il tuo lavoro da fare! Congratulazioni per l'RFP e buona fortuna.
Altro a venire.