Probablemente debería obtener a alguien con más experiencia en seguridad para que realmente revise su sitio para asegurarse de que las cosas se implementen correctamente y para diseñar su seguridad para usted. Crear un sistema que pueda proteger de manera segura la información bancaria requiere muchos conocimientos diferentes y, sin pretender ofender, su pregunta en sí misma demuestra que es probable que tenga muy poca experiencia al respecto.
El cifrado no usa una sal, usa una IV. Las sales se utilizan con hashes. Los vectores de inicialización aseguran que diferentes encriptaciones de la misma información resulten en diferentes cyphertexts (para evitar que el mismo valor encriptado sea reconocible como el mismo). Más allá del cifrado de los datos, necesitará una configuración segura de la cuenta, deberá evitar la inyección de SQL y las secuencias de comandos entre sitios, tendrá que verificar un montón de cosas sobre el entorno de su servidor y la red en la que está, necesitará para configurar el monitoreo de intrusión.
Hay una gran cantidad de cosas que van más allá de lo que podemos decirle con suficiente detalle en este sitio en una respuesta y hay muchos escollos que pueden ocurrir en función de cómo escriba su código específicamente. Realmente necesita que alguien trabaje con usted directamente si está creando su propia aplicación desde cero.