Hacer: utilizar el centro de datos de los centros bancarios. Que asuman la carga de la seguridad física. Necesitan proporcionar algo con su infraestructura de TI para el cumplimiento. Hasta que esté en su entorno, simplemente aloje localmente en una unidad cifrada con datos ficticios.
No: use ningún entorno de nube. Utilice un host dedicado y gestionado. Deje que el cliente pague la factura.
Sí: revise dos veces las mejores prácticas de la biblioteca pg_crypto y verifique esta palabra por palabra.
enlace
Hacer: lea en general sobre pares de claves, sales y hashes aquí: enlace
Sí: agregue algunos autenticadores como preguntas de seguridad y permita la detección automatizada de comportamientos sospechosos como iniciar sesión desde una nueva IP, verificación doble del servicio al cliente (el servicio al cliente no puede ver las respuestas, solo escribe los desafíos de seguridad de los clientes y ver si pasó o falló al final)
Hacer: auditorias de seguridad periódicas. Sugiera a empresas externas que lo ayuden y respalde su propuesta con el costo adicional. Una pequeña operación de comercio electrónico (solo para inscribirse en una edición en línea y pagarla por ejemplo) cuesta alrededor de $ 5,000 para una auditoría anual realizada por una empresa reconocida.
Hacer: leer acerca de los ataques MITM. Evite que los navegadores desactualizados o los certificados autofirmados utilicen el sitio. Prefiera usar una CA altamente confiable y nunca permita certificados comodín, certificados rápidos o certificados vencidos en el lado del servidor. Todo eso es tu trabajo que hacer! Felicidades por la RFP y buena suerte.
Más por venir.