当通过使用 SSL 的页面上的表单接受用户的银行账户信息(帐号和路由号码)并将其发回服务器时,我会在服务器上关闭 HTTPS 请求以将该信息发送到ACH 服务,如 First ACH 或 ACH Direct 通过其 API?
我们不会将银行帐户信息保存在我们的数据库中。我知道另一种选择是使用Paypal 的 Mass Pay API,但他们认为要求客户拥有 paypal 帐户才能获得报酬是不专业的(至少对他们的业务而言)。
想法?
当通过使用 SSL 的页面上的表单接受用户的银行账户信息(帐号和路由号码)并将其发回服务器时,我会在服务器上关闭 HTTPS 请求以将该信息发送到ACH 服务,如 First ACH 或 ACH Direct 通过其 API?
我们不会将银行帐户信息保存在我们的数据库中。我知道另一种选择是使用Paypal 的 Mass Pay API,但他们认为要求客户拥有 paypal 帐户才能获得报酬是不专业的(至少对他们的业务而言)。
想法?
这里有很多安全问题。即使您不受监管法规的约束(取决于您的业务),我也能想到很多。我会打字直到我厌倦为止。
……好吧,我累了。
不要在这次游行中下雨,但是如果您必须在SO上询问这种事情,您真的不准备这样做。购买解决方案,聘请该领域的专业人员,或者花大量时间研究这个问题并让某人审核您正在做的事情。
您在两个流上都使用 SSL 并且不存储。我想说没有任何顾虑,只要保护好你的服务器并使用强加密即可。
如果有人设法访问您的服务器,您可能会遇到麻烦,但这对于每种在线金融交易来说都是如此。
Your design sounds relatively sound. The main issue is that your web application has to be running in a secure environment, which I'm guessing you don't have a lot of control over if you're hosted.
Ask you hosting company if they are PCI-DSS compliant. If they can hit that bar then you're probably in good hands.
Lyons 提供了一个“帐户验证”API,它可能会起作用:http ://www.lyonsreg.com/products/account-verification.asp