1. Accueil
  2. Question et réponse
  3. Accepter les informations de compte bancaire dans un formulaire

Accepter les informations de compte bancaire dans un formulaire

2010-04-17 6 views
1

Quelles sont les préoccupations de sécurité lors de l'acceptation des informations de compte bancaire d'un utilisateur (numéro de compte et numéro de routage) via un formulaire sur une page utilisant SSL et de les renvoyer au serveur enrouler une demande HTTPS pour envoyer cette information à un service ACH comme First ACH ou ACH Direct via leur API?Accepter les informations de compte bancaire dans un formulaire

Nous ne conserverons pas les informations bancaires dans notre base de données. Je sais qu'une autre option est d'utiliser Paypal's Mass Pay API, mais ils pensent qu'il n'est pas professionnel (au moins pour leur entreprise) d'exiger des clients d'avoir un compte paypal pour être payé.

pensées?

Source

2010-04-17 jeffthink

Répondre

1

Vous utilisez SSL sur les deux flux et vous ne stockez pas. Je dirais qu'il n'y a pas de soucis, gardez votre serveur bien gardé et utilisez crypto fort.

Si quelqu'un parvient à avoir accès à votre serveur, vous pourriez avoir des problèmes, mais c'est à peu près vrai pour toutes les transactions financières en ligne .

Source

2010-04-17 18:39:08 dwery

3

Beaucoup de problèmes de sécurité ici. Même si vous n'êtes pas soumis à des lois réglementaires (dépend de votre entreprise), je peux penser à un certain nombre. Je vais taper jusqu'à ce que j'en ai marre.

  • Vos serveurs sont-ils sécurisés? Verrouillé dans des cages, site sécurisé, accès pour deux personnes, patché, audité et scanné avec détection d'intrusion, etc. C'est la chose la plus probable que vous devez vous inquiéter. Si vous pensez qu'ils le sont, ils ne le sont probablement pas.
  • Le réseau est-il complètement bloqué? Même stupide choses comme un plan pour s'assurer que votre nom de domaine n'expire pas est important. Avez-vous des contrôles automatisés pour fermer le site en cas d'intrusion?
  • Votre logiciel est-il sécurisé? L'audit par un tiers pour des problèmes de sécurité est un must. Ne lésinez pas sur cela. De l'avant (attaques CSS) à l'arrière, tout doit être verrouillé solide.
  • Votre cycle de développement est-il sécurisé? Contrôles de deux personnes sur le logiciel. Ne laissez pas vos développeurs corriger les serveurs ou déployer du code sans révision de code. Les administrateurs ont également besoin de surveillance.
  • Tout doit être chiffré. Mieux vaut ne pas stocker les numéros de compte du tout. Si vous les stockez, cryptez-les et conservez les clés ailleurs.

... d'accord, je suis fatigué.

Ne pas pleuvoir sur ce défilé, mais si vous devez vous renseigner sur ce genre de choses sur SO, vous n'êtes vraiment pas prêt à le faire. Acheter une solution, embaucher un professionnel dans le domaine, ou passer un lot de temps à étudier ce problème et demandez à quelqu'un de vérifier ce que vous faites.

Source

2010-04-17 18:42:01

+0

Tout cela a du sens, et chaque point est une préoccupation valable.En supposant que j'ai ces pratiques de sécurité importantes, mais indirectes en place, qu'en est-il de la sécurité du processus réel énuméré ci-dessus. Fondamentalement, SSL tout au long, pas de stockage local des informations bancaires, et le cryptage des numéros de compte client ACH en DB? – jeffthink

+0

En bref, la construction d'un transport sécurisé des moyens terriblement squat si l'un des noeuds (processus ou du système) sont compromis. –

0

Votre conception semble relativement solide. Le problème principal est que votre application web doit être exécutée dans un environnement sécurisé, ce que je suppose que vous n'avez pas beaucoup de contrôle si vous êtes hébergé.

Demandez à votre société d'hébergement si elles sont conformes à la norme PCI-DSS. S'ils peuvent frapper cette barre alors vous êtes probablement entre de bonnes mains.

Source

2014-06-26 23:39:50

Questions connexes

 Questions connexes