HTTPS es obligatorio por supuesto. Pero hay muchas más opciones de seguridad. Puedo proporcionarte algunos conceptos básicos:
Debes implementar HSTS (Http Strict Transport Security) para forzar a los clientes a usar tu conexión HTTPS.
No ha especificado cuál es su tecnología de back-end (Java, PHP, etc.). Debe actualizar su servidor a las últimas versiones para evitar vulnerabilidades conocidas. Por ejemplo, en el caso de PHP, las versiones antiguas tienen muchas posibles vulnerabilidades.
Debes configurar tus cortafuegos perimetrales para evitar DoS (Denegación de servicio) como lo haremos vea más adelante, pero puede evitar algunos ataques DoS muy básicos y conocidos como, por ejemplo, Loris Lento solo reforzando la configuración de su servidor. / p>
Deshabilite los banners y las firmas de los servidores todo lo posible para intentar identificar mejor su software y versión (O.S., tecnología de servidor web, etc.).
¿Su backend es a prueba de inyección? Debe estar bastante seguro de filtrar y desinfectar los caracteres "peligrosos" para evitar XSS , inyección de SQL y otros posibles ataques. Este es uno de los puntos más importantes.
CSRF deben evitarse los ataques. Debes realizar un manejo de sesión correcto con algún tipo de mecanismo (generalmente hashes de sesión, tokens o similares) para evitar esto.
WAF (Servidor de seguridad de aplicaciones web) es una buena opción para tratar de filtrar muchos ataques contra su sitio. De todos modos, esto debe ser un complemento de codificación segura. Nunca la seguridad debe depender solo de este elemento.
IDS / IPS (Sistema de detección de intrusos / Sistema de prevención de intrusos) son obligatorios (en mi opinión) si usted están gestionando información sensible como los datos contables bancarios. Debes poder detectar / prevenir ataques.
Hay más ... pero creo que para empezar es suficiente. :)