Estoy creando un sitio que permitirá a los usuarios ingresar su número de cuenta bancaria para poder pagarles por sus servicios. Estoy lejos de ser un experto en seguridad y me gustaría conocer algunas de las mejores prácticas para cifrar estos datos.
Hasta ahora he recopilado que, como mínimo, debería tener un cifrado de 256 bits con un salt. ¿Qué otras medidas puedo tomar o serían suficientes para suficientes medidas de seguridad?
Gracias
Probablemente debería obtener a alguien con más experiencia en seguridad para que realmente revise su sitio para asegurarse de que las cosas se implementen correctamente y para diseñar su seguridad para usted. Crear un sistema que pueda proteger de manera segura la información bancaria requiere muchos conocimientos diferentes y, sin pretender ofender, su pregunta en sí misma demuestra que es probable que tenga muy poca experiencia al respecto.
El cifrado no usa una sal, usa una IV. Las sales se utilizan con hashes. Los vectores de inicialización aseguran que diferentes encriptaciones de la misma información resulten en diferentes cyphertexts (para evitar que el mismo valor encriptado sea reconocible como el mismo). Más allá del cifrado de los datos, necesitará una configuración segura de la cuenta, deberá evitar la inyección de SQL y las secuencias de comandos entre sitios, tendrá que verificar un montón de cosas sobre el entorno de su servidor y la red en la que está, necesitará para configurar el monitoreo de intrusión.
Hay una gran cantidad de cosas que van más allá de lo que podemos decirle con suficiente detalle en este sitio en una respuesta y hay muchos escollos que pueden ocurrir en función de cómo escriba su código específicamente. Realmente necesita que alguien trabaje con usted directamente si está creando su propia aplicación desde cero.
Deberías usar un procesador de pagos. Proporcionan comunicación cifrada (https) entre el cliente y el procesador de pagos. Paypal, por ejemplo, utiliza el cifrado TLS RSA AES-256 SHA. Compare las tarifas, provisiones y reputación de otros proveedores para encontrar lo mejor para sus necesidades.
El pago es una parte muy sensible en el proceso de pedido. Si los clientes pueden perder dinero, debido a que la pasarela de pago que usted les proporcionó tiene serios problemas de seguridad, podría ser considerado responsable de sus daños. Entonces, contrate un programador profesional o elija un procesador de pagos que yo recomiendo.
Lea otras preguntas en las etiquetas encryption