Mostrar números de enrutamiento / cuenta de banco y almacenarlos de manera segura

6

EDITAR: Esto es para la región del Reino Unido / Europa.

Me he estado rascando la cabeza leyendo otras publicaciones similares a esta sobre el almacenamiento seguro de números de cuenta y enrutamiento bancario. Sé que los números de enrutamiento pueden ser texto simple en una base de datos, ya que están disponibles públicamente. Sin embargo, me preocupa almacenar el número de cuenta. También sé que realmente no puede obtener nada de una cuenta bancaria con solo el enrutamiento y los números de cuenta.

Sé que esta información no cumple con los estándares PCI. Actualmente tenemos una aplicación web empresarial y una base de datos en el mismo servidor, y nos gustaría almacenar algunos detalles de la cuenta aquí para que algunos de nuestros empleados se refieran al realizar facturas, etc. Tenemos un sistema basado en roles / permisos completamente habilitado , para que podamos limitar a quién está disponible esta información.

Mi principal preocupación son nuestros correos electrónicos para esta información. AFAIK, tenemos que enviar una carta de confirmación al cliente cuando cambie alguna parte de su cuenta (como las fechas de cobro, etc.), o hagan una nueva. En esta carta, debe aparecer el número de cuenta bancaria. También deseamos que esta información esté disponible para el cliente en su cuenta del portal en línea (creada por nosotros). ¿Es seguro almacenar el número de cuenta como está (normal) y SOLO incluir el número completo en la carta de papel? El servidor podría ocultar parcial o totalmente la versión en línea, de modo que nunca aparezca en el navegador.

¿O estoy pensando demasiado y voy demasiado lejos? O ¿sería mejor alejarse de esto y enfatizar la palabra NO a mi superior?

    
pregunta MightyLampshade 27.04.2015 - 13:09
fuente

1 respuesta

2

Depende de la seguridad del banco en general. Europa es mejor que los EE. UU., Pero también hay historias de débitos falsificados en el Reino Unido donde solo utilizaron información básica.

Si le preocupan los números de enrutamiento y los números de cuenta (ya que filtrar una base de datos puede ser una pesadilla de relaciones públicas sin importar si la información se refiere a información financiera), puede optar por una segunda instancia de su aplicación solo para usuarios internos (y una base de datos, solo ten cuidado con las condiciones de la carrera).

Luego puede usar el cifrado asimétrico para almacenar la información confidencial en la base de datos y poner la clave pública en la instancia para los clientes (donde la información se cifra cuando se envía a la base de datos) y la clave privada para descifrar en el sistema backend. De esa manera, la interfaz expuesta a los clientes solo puede cifrar la información.

    
respondido por el Lucas Kauffman 27.04.2015 - 14:41
fuente

Lea otras preguntas en las etiquetas