Beaucoup de problèmes de sécurité ici. Même si vous n'êtes pas soumis à des lois réglementaires (dépend de votre entreprise), je peux penser à un certain nombre. Je vais taper jusqu'à ce que j'en ai marre.
- Vos serveurs sont-ils sécurisés? Verrouillé dans des cages, site sécurisé, accès pour deux personnes, patché, audité et scanné avec détection d'intrusion, etc. C'est la chose la plus probable que vous devez vous inquiéter. Si vous pensez qu'ils le sont, ils ne le sont probablement pas.
- Le réseau est-il complètement bloqué? Même stupide choses comme un plan pour s'assurer que votre nom de domaine n'expire pas est important. Avez-vous des contrôles automatisés pour fermer le site en cas d'intrusion?
- Votre logiciel est-il sécurisé? L'audit par un tiers pour des problèmes de sécurité est un must. Ne lésinez pas sur cela. De l'avant (attaques CSS) à l'arrière, tout doit être verrouillé solide.
- Votre cycle de développement est-il sécurisé? Contrôles de deux personnes sur le logiciel. Ne laissez pas vos développeurs corriger les serveurs ou déployer du code sans révision de code. Les administrateurs ont également besoin de surveillance.
- Tout doit être chiffré. Mieux vaut ne pas stocker les numéros de compte du tout. Si vous les stockez, cryptez-les et conservez les clés ailleurs.
... d'accord, je suis fatigué.
Ne pas pleuvoir sur ce défilé, mais si vous devez vous renseigner sur ce genre de choses sur SO, vous n'êtes vraiment pas prêt à le faire. Acheter une solution, embaucher un professionnel dans le domaine, ou passer un lot de temps à étudier ce problème et demandez à quelqu'un de vérifier ce que vous faites.
Tout cela a du sens, et chaque point est une préoccupation valable.En supposant que j'ai ces pratiques de sécurité importantes, mais indirectes en place, qu'en est-il de la sécurité du processus réel énuméré ci-dessus. Fondamentalement, SSL tout au long, pas de stockage local des informations bancaires, et le cryptage des numéros de compte client ACH en DB? – jeffthink
En bref, la construction d'un transport sécurisé des moyens terriblement squat si l'un des noeuds (processus ou du système) sont compromis. –