您绝对有责任维护财务记录的机密性。

根据您所在国家/地区的法律和法律先例（免责声明：IANAL），您（作为一家公司）可能会因违约而被起诉或起诉。我看到您的个人资料显示您在英国，因此如果发生违规行为并且客户最终因此受到欺诈，ICO和FSA等政府组织可以参与其中。他们有向不负责任地处理客户财务细节的公司处以巨额罚款的历史。最重要的是，个别客户可以根据他们的个人损失单独起诉您。

请记住，由于安全措施不足而泄露客户个人信息的违规行为会自动使您违反1988 年数据保护法，这是 ICO 可以起诉您的原因。

事实上，在您存储财务凭证的情况下，您的银行或卡处理商可能会要求您符合 PCI 标准，因此如果是这种情况，那么您可能违反了与他们签订的合同。在这种情况下，他们可能会撤销您的服务，对您处以罚款，甚至在法庭上起诉您。

我的建议如下：

1. 查看您的系统并确定需要保护哪些信息，以及保护它的最佳方法是什么。对于密码，您应该使用密钥派生算法，例如 PBKDF2 或 bcrypt - 而不是 SHA1 之类的哈希。对于帐号和排序代码等财务信息，您应该使用HSM或至少使用内存中密钥的对称加密。您能否将您的凭证存储和/或支付处理外包给第三方提供商？建立一个建议列表和预期的开发时间，并按严重程度排列它们的优先级。实事求是——说一切都很关键会让你的老板关掉。
2. 去找你的老板，解释你的公司目前存储财务信息的方式是疏忽大意的，你目前的安全措施是不够的。解释它为什么不好，有哪些适当的立法（尤其是 DPA 1998 和其他 ICO 法规）以及大多数公司应该遵守的标准（PCI-DSS、ISO/IEC 27000等）。确保他完全认识到如果您被违反，可能会受到严厉的经济（和潜在的法律）处罚。
3. 让他与专门研究 PCI-DSS 或类似金融法规的信息安全公司交谈。他们通常会提供免费（或廉价）的咨询，以解决他的任何顾虑，并给他一些建议。从那里他可以决定风险是什么。对您的网络应用程序进行彻底的渗透测试可能是值得的，因为它存储了财务细节。这是一笔费用，但比被起诉便宜得多。
4. 根据您获得的信息采取行动，并确保您的结果经过专业人士的审查。

如果，在这一切之后，你的老板仍然决定忽视你的网络应用程序存在的严重安全和隐私问题，请他以书面形式表明你不能也不会对在你工作期间与数据安全漏洞相关的任何法律问题负责。就业。如果他拒绝这样做，我强烈建议找另一份工作并向 ICO 报告。这不值得潜在的法律问题。