答案摘要:
不要这样做。所涉法律和经费问题将是灾难性的。寻找成熟的第三方解决方案或聘请专家。切勿在共享服务器上存储任何敏感信息。研究最合适的加密机制。
我正在为一个客户建立一个网站,该客户需要将客户的银行信息(路由+帐号)存储在数据库中以进行直接存款。以下是一些细节:
1)该网站最初将位于共享主机服务器上(这是我的第一个问题)。
2)我正在使用PHP / MySQL。
3)我计划使用mcrypt。
4)密钥将位于Web根目录之外。
请让我知道你的想法。如果可能的话,请为我提供一些关于ACH处理的资源。
谢谢!
编辑:我期待这样的回应,因为我也害怕那里的安全问题。我已经向我的客户表达了我的担忧,这将是一个很好的支持。
编辑2:将离开这个。一开始对这个想法不满意!将调查PayPal的批量支付API。
我认为您可以通过使用诸如PayPal的批量支付API之类的东西来解决此问题,而无需自己存储任何银行信息。这样,您的客户可以向人们付款,并且PayPal存储所有信息,因此您不必这样做。
如果您想了解需要采取的所有步骤,甚至可以远程保护客户的敏感财务数据,请谷歌'PCI合规性'
如果你不死死地害怕在网上存储财务数据,那么你就太天真了。
1)该网站最初将位于共享主机服务器上(这是我的第一个问题)。--真的很糟糕。没有对服务器的绝对管理控制,并且能够将其他人拒之门外是一个非常大的问题。
我真的很担心您直接从前端Web服务器访问数据库。这是财务数据的一个很大的禁忌。
即使您拥有有史以来最强大的加密算法,如何防止有人劫持您的系统并使用它来解密数据。他们不需要密钥,他们只需要您的应用程序为他们完成工作。这假设您使用单个密钥来加密和解密数据,或者您正在从数据库中检索数据以显示给系统的用户。
好的,事情就是这样。如果您必须提出这些问题,那么您没有技术专业知识来正确执行此操作。我不是想听起来很刻薄,这只是一个事实。我会和一群经验丰富的人一起工作,他们首先做这个专业。这里会有很多地方没有提到,需要考虑。有很多关于安全性的东西本身并没有写下来。你不会从读书中学到的东西。这是一件非常难建立的事情,因为闯入金融体系的人会得到很大的回报。
