通过使用SSL的页面上的表单接受用户的银行帐户信息(帐号和路由号码)并将其发回服务器然后卷起要发送的HTTPS请求时,会出现哪些安全问题?通过他们的API将这些信息提供给ACH服务,如First ACH或ACH Direct?
我们不会在我们的数据库中保存银行帐户信息。我知道另一种选择是使用Paypal's Mass Pay API,但他们认为要求客户使用paypal帐户获得报酬是不专业的(至少对他们的业务而言)。
思想?
答案 0 :(得分:3)
这里有很多安全问题。即使您不受监管法规的约束(取决于您的业务),我也可以想到很多。我会打字,直到我厌倦了它。
......好吧,我累了。
这次游行不要下雨,但如果你不得不在SO上询问这类事情,你真的不准备这样做。购买解决方案,聘请专业人员,或花费很多时间来研究这个问题并让某人审核您正在做的事情。
答案 1 :(得分:1)
您在两个流上都使用SSL而您没有存储。我会说没有顾虑, 只需保持服务器的安全,并使用强大的加密。
如果有人设法在您的服务器上获得访问权限 陷入困境,但这对于各种在线都是如此 金融交易。
答案 2 :(得分:0)
Lyons提供“帐户验证”API,可能有效:http://www.lyonsreg.com/products/account-verification.asp
答案 3 :(得分:0)
您的设计听起来相对合理。主要问题是您的Web应用程序必须在安全的环境中运行,我猜您在托管时没有很多控制权。
如果他们符合PCI-DSS,请询问托管公司。如果他们能够达到那个标准,那么你可能掌握得很好。