Sana Paypal's Mass Payment API gibi bir şey kullanarak aracılığıyla herhangi bir banka bilgileri kendiniz depolamak olmadan bu sorunu çözebilir düşünüyorum. Bu şekilde, müşteri insanları ödeyebilirsiniz ve PayPal mağazalar tüm bilgilerin yüzden gerek yok.

Hakkında bile müşterinizin duyarlı finansal veri güvenliğini uzak bir şansınız olması için yapılması gereken tüm adımları okumak istiyorsanız, 'PCI Compliance' google

Eğer online finansal veri depolama ölümüne korkuyor değilseniz, size korkunç safsın.

Bunu yapmayın.

Eğer varsa Bu, kamu / özel anahtar kripto kullanın. Mağaza ve veritabanına girmeden verileri şifrelemek için sadece kamu anahtarını kullanın. (: Değil barındırılan sunucu, ancak uygun erişim kontrolleri ile yerel makine "güvenli" anlamına gelir) güvenli bir yere özel anahtarı saklayın. Gerektiğinde, yerel makineye veri indirmek şifresini çözmek için özel anahtarı kullanın ve uzağa gitmek.

Ama cidden, Eğer muhtemelen bunu önlemek için bir yol bulmak.

1) The website will initially be on a shared hosting server (this is my first concern). --REALLY BAD. Not having absolute administrative control over the server, and be able to keep other people out is a really big problem.

Ben doğrudan ön uç web sunucusundan veritabanına erişiyor gerçekten endişe olacaktır. Bu finansal veriler ile hayır-hayır büyük.

Hiç güçlü şifreleme algoritması olsa bile, sistem kaçırma ve onlar için verilerin şifresini çözmek için kullanmaya gelen birisi önlemek için ne. Onlar sadece onlar için işi yapmak için uygulama gerekir, anahtara ihtiyacınız olmayacak. Bu verileri şifrelemek ve şifresini çözmek için tek bir anahtar kullanarak konum veya sistemin kullanıcılara göstermek için db den veri almak üstlenmektedir.

Tamam burada bir şey var. Bu soruları sormak zorunda varsa, bu doğru yapmak için teknik uzmanlığa sahip değilsiniz. Ben ortalama ses çalışıyorum değilim, sadece bir gerçektir. Ben profesyonelce ilk bunu görmüş kişilik bir grup ile çalışma giderdim. Dikkate alınması gereken burada bahsedilmeyen şeyler bir sürü olacaktır. başına yazılı değildir güvenliği hakkında bir sürü şey var '. Bir kitap okurken yukarı almak olmayacak şeyler. Bu finansal sistemlere girmeye insanlar için büyük ödülleri vardır becuase, inşa etmek gerçekten zor bir şeydir.

Eğer ben bunu kullanmak asla emin olun, böylece bu uygulama ne olduğunu bana söyleyebilir misiniz?

Bu uzaktan güvenli hale getirmek için tek yol, bir bankacılık işlemi yapıldığı her şey girmek için hesap sahibinin gerektiren etmektir.

Yani "şey" bir simetrik anahtar sunucuda depolanan hesap bilgilerini şifresini çözmek için oluşturulan hangi bir şifre olabilir. Ya da hesap bilgileri kendisi olabilir. Bu sadece bir hesap numarası varsa, o da bunu her zaman girmek için kullanıcı için çok daha zor değil, ve bu çok daha güvenli.

Hatta daha sonra, bozuk bir barındırma hizmeti kolayca hesap bilgisini müdahale edebilir; beceriksiz bir barındırma hizmeti en iyi çabalarına rağmen ele izin verebilirsiniz. Güvenli olması için, makinenin dışında bir güvenlik ihlali sorumlu değildir herhangi bir kullanıcı kilitlemek gerekir.

Ben sunucu için fiziksel güvenliğini sağlamak için saygın bir barındırma hizmeti güven olur, ama ben işletim sistemi erişimi onlara güven asla. Çok riskli, Kasıt veya ihmal olup olmadığını.

Devam etmeden önce, potansiyel yükümlülükler hakkında bir avukatla konuşun. Paylaşılan bir barındırma sunucusu üzerinde depolanan kişisel bankacılık verilere sahip tüm yazılmış tehlike vardır. Sonuçta veri ellerine almak kimin üzerinde hiçbir kontrole sahip.

Ek endişe sizin müşteri veri değil, bu müşterinin client's veri var! Onların müşterileri katılıyor değilken sizi tazmin etmek için müşteri ile bir anlaşma yapmak mümkün olabilir, ama olabilir. Veri tehlikeye sonra, onlar müşterilerine yedekte onların ensesinde nefes ile size hemen geri döneceksin!

Bilgisi bankacılık için, sunucu paylaşılan değil kendi kontrolünde olmalıdır.

Ayrıca, mcrypt çok güvenli değildir. Ben inşa biliyorum ama ben RSA gibi öylesine hackable olmayan bir şey önermek istiyorum. Birisi bir bilgi tutmak etmezse, onlar özel bir anahtar olmadan kesmek mümkün olmamalıdır.

Ben başkaları ile katılıyorum - bu çok kötü bir fikirdir.

Bu uygun değilse onlar ile başlayan banka bilgi işlem konum neden, ben gerçekten merak ediyorum, 99 $ bir ay - Adanmış sunucular arasında 79 $ 'a sahip olabilirsiniz. Tercih edilen yolu da bu durumda, web kutusundan veritabanı ayrı sahip olacaktır. Tercihen bazı duvarları ve aralarında diğer koruma (yani, 2 güvenlik duvarları, web sunucusu önünde biri ve web sunucusu ve veritabanı arasında biridir) ile.

Ama bir şey barındırma ortak kullanarak daha iyi olurdu. Ne kadar kolay minimal hack ile sağ atlamak olacaktır - Yani, SQL sunucusuna doğru bağlayın ve tüm mevcut veritabanlarını görebilirsiniz?

Ben kaydolmak ve o benim bankacılık bilgi koymak asla böylece Ayrıca, bana sitenin ismini söyleyin lütfen! :)

Ayrıca, hosting ile ileriye gitmeden önce hataları ve ommission sigorta var emin olun.

Bu alanda deneyimi yok, ve hatta bir depo kulüpte bu büyük solucanlar kutular bulamıyorum. Bu müşteri bir etki uzmanı işe ihtiyacı olan bir durumdur; Eğer gelecekte bu tür işler yaparken ilgileniyorsanız eğer, uzman ile çok yakından çalışmak ve mümkün olduğunca fazla bilgi absorbe çalışın.

Burada herkes yeterince durumun konusundaki hoşnutsuzluğunu duyurdu düşünüyorum, bu yüzden (biz gerekli olduğunu kabul edecektir) kripto her türlü yaparken ben sadece başka bir sorun üzerinde bir ipucu düşecek:

Verileri bir yere şifreli var!

Eğer sunucu üzerinde yaparsanız, iyi bir uzlaşma sunucu sadece şifreleme yapmak ve bunları şifreleyerek w / o onları geçecek.

Eğer istemci bunu yaparsanız, bu biraz daha güvenli, ama birisi sunucuya erişimi varsa hala kapı ardına kadar açık bırakır: Bunlar teoride sadece bir XSS delik (yani sayfanın içine uzaktan komut dosyası eklemek açabilirsiniz .. .) o şifreleyerek önce kendi kutusuna bir kopyasını gönderir ...

Sonunda: Eğer gerçekten% 110 güvenli olmayabilir bir sunucuda bu yaptığını düşünürsek WALK AWAY.