所以我有这个网站,我会要求用户输入以下银行信息。
我需要用户提供这些信息以通过支票付款。我有必要将它们存储在我的服务器上(我正在使用 Apache)并仅向管理员显示。
我对安全和加密的了解非常有限。
请告诉我如何确保它的安全,因为它没有充分加密。也许在显示此信息的页面上应该有额外的密码保护?
哦,PCI 标准是否也适用于银行信息或仅适用于信用卡信息?如果它也适用于银行信息,那么我需要确保我遵循要求 #3 和 #4,对吗?
这是我正在使用的技术:
服务器:阿帕奇
内容管理系统:Drupal
框架:PHP
请帮忙!
您不在 PCI 范围内,因为您拥有银行帐号。您可能会面临其他监管要求,包括一般数据保护问题,具体取决于您所在的地区和业务类型。
也就是说,当您设计和操作处理敏感数据的应用程序时,许多 PCI 要求都为您提供了良好的指导。
因此,从应用架构的角度来看,您可能会考虑以下问题:
等等。其目的是确保对广泛可用的界面(例如公共网站)的妥协不会传播以提供对数据库中敏感数据的完全访问权限。
我对安全和加密的了解非常有限。
那么您不应该尝试自己存储银行信息。这类似于对医学了解不多但试图做手术。
聘请安全专家为您开发(或部署现有的)安全系统,或聘请第三方进行付款/付款处理。如果您质疑自己的行为是否符合相关规定,请咨询律师。
当您不知道自己在做什么时,有很多方法可以引入安全漏洞。您可能要为对您系统的任何攻击负责。如果有人入侵了您的数据库,他们可能会将付款重新发送到他们控制的帐户吗?或更改付款金额?
另见: