¿Cómo almacenar la información bancaria, recopilada en el sitio web, de forma segura e implementar el cifrado?

5

Por lo tanto, tengo este sitio web en el que pediré a los usuarios que ingresen la siguiente información bancaria.

  1. Nombre del titular de la cuenta bancaria:
  2. Número de cuenta bancaria:
  3. número de enrutamiento de 9 dígitos:

Necesito esta información de los usuarios para pagarlos con cheque. Y es necesario que los almacene en mi servidor (estoy usando Apache) y los muestre solo a admin.

Tengo un conocimiento muy limitado de la seguridad y el cifrado.

Por favor, dime cómo hacer esto seguro ya que no está lo suficientemente encriptado. ¿Quizás debería haber una protección de contraseña adicional en la página donde se muestra esta información?

¿Ah, y los estándares PCI se aplican también a la información bancaria o solo a la información de la tarjeta de crédito? Si también se aplica a la información bancaria, debo asegurarme de que cumplo con los requisitos 3 y 4, ¿correcto?

Aquí está la tecnología que estoy usando:

Servidor: Apache

CMS: Drupal

Marcos: PHP

¡Por favor ayuda!

    
pregunta user19763 17.01.2013 - 03:44
fuente

2 respuestas

7

Usted no está dentro del alcance de PCI por tener números de cuentas bancarias. Es posible que enfrente otros requisitos regulatorios, incluidos los problemas generales de protección de datos en función de su región y tipo de negocio.

Dicho esto, muchos de los requisitos de PCI constituyen buenas pautas al diseñar y operar una aplicación que maneja datos confidenciales.

Por lo tanto, desde el punto de vista de la arquitectura de la aplicación, puedes considerar temas como:

  • colocar la base de datos en un servidor separado, posiblemente con límites de red entre ellos
  • cifrar los datos, utilizando una clave que no se almacena en el mismo lugar que los datos; potencialmente, tokenización (incluso si es manual)
  • separar la interfaz de administración de cualquier cosa a la que acceda una base de usuarios más amplia, potencialmente en un servidor diferente, y aplicar restricciones de acceso de manera confiable (por ejemplo, reglas de firewall)

y así sucesivamente. El objetivo es garantizar que el compromiso con una interfaz ampliamente disponible (por ejemplo, un sitio web público) no se propague para dar acceso completo a los datos confidenciales en la base de datos.

    
respondido por el bobince 17.01.2013 - 20:27
fuente
5
  

Tengo un conocimiento muy limitado de la seguridad y el cifrado.

Entonces no debes intentar almacenar la información bancaria por tu cuenta. Esto es similar a no estar familiarizado con saber mucho acerca de la medicina pero intentar hacer una cirugía.

Contrate a un experto en seguridad para desarrollar (o implementar un sistema seguro) para usted o contrate a un tercero para que realice el proceso de pago / pago. Si está cuestionando si lo que está haciendo cumple con las regulaciones pertinentes, consulte a un abogado.

Hay muchas formas de introducir vulnerabilidades de seguridad cuando no sabes lo que estás haciendo. Usted puede ser responsable de cualquier ataque a su sistema. Si alguien piratea su base de datos, ¿podrían redirigir los pagos a las cuentas que controlan? ¿O cambiar los importes de los pagos?

También vea:

respondido por el dr jimbob 18.01.2013 - 22:44
fuente

Lea otras preguntas en las etiquetas