当通过使用 SSL 的页面上的表单接受用户的银行账户信息(帐号和路由号码)并将其发回服务器时,我会在服务器上关闭 HTTPS 请求以将该信息发送到ACH 服务,如 First ACH 或 ACH Direct 通过其 API?
我们不会将银行帐户信息保存在我们的数据库中。我知道另一种选择是使用Paypal 的 Mass Pay API,但他们认为要求客户拥有 paypal 帐户才能获得报酬是不专业的(至少对他们的业务而言)。
想法?
问问题
1305 次
4 回答
3
这里有很多安全问题。即使您不受监管法规的约束(取决于您的业务),我也能想到很多。我会打字直到我厌倦为止。
- 您的服务器安全吗?锁在笼子里,安全站点,两人访问,打补丁,审计和入侵检测扫描,等等。这是您最有可能担心的事情。如果你认为他们是,他们可能不是。
- 网络一直安全吗?即使是确保您的域名不会过期的计划等愚蠢的事情也很重要。您是否有在发生入侵时关闭站点的自动控制?
- 你的软件安全吗?必须由第三方审核安全问题。不要吝啬这一点。从前端(CSS 攻击)到后端,一切都需要牢牢锁定。
- 您的开发周期安全吗?软件上的双人控制。不要让您的开发人员修补服务器,或在没有代码审查的情况下部署代码。管理员也需要监控。
- 一切都需要加密。最好根本不存储帐号。如果您确实存储了它们,请将它们加密并将密钥保存在其他地方。
……好吧,我累了。
不要在这次游行中下雨,但是如果您必须在SO上询问这种事情,您真的不准备这样做。购买解决方案,聘请该领域的专业人员,或者花大量时间研究这个问题并让某人审核您正在做的事情。
于 2010-04-17T18:42:01.597 回答
1
您在两个流上都使用 SSL 并且不存储。我想说没有任何顾虑,只要保护好你的服务器并使用强加密即可。
如果有人设法访问您的服务器,您可能会遇到麻烦,但这对于每种在线金融交易来说都是如此。
于 2010-04-17T18:39:08.570 回答
0
Your design sounds relatively sound. The main issue is that your web application has to be running in a secure environment, which I'm guessing you don't have a lot of control over if you're hosted.
Ask you hosting company if they are PCI-DSS compliant. If they can hit that bar then you're probably in good hands.
于 2014-06-26T23:39:50.630 回答
0
Lyons 提供了一个“帐户验证”API,它可能会起作用:http ://www.lyonsreg.com/products/account-verification.asp
于 2012-06-22T05:27:10.153 回答