假设我想建立一个处理和促进货币交易的网站。例如,包括银行网站,WePay / PayPal,或某种交易交易所,如MtGox(他们交易比特币,最近被黑客入侵)。
必须满足哪些必要的安全要求?基本要点是显而易见的:永远不要信任用户输入,购买SSL证书并通过HTTPS运行流量,并使用像bcrypt这样的算法只存储密码哈希值。
然而,对于像处理金钱一样令人生畏的事情,我觉得他们必须是一系列额外的做法我也不会忘记。有人能填补我吗?
答案 0 :(得分:2)
我想这取决于你对交易的掌控程度。如果您打算在服务器上对卡持有者数据进行任何处理,您将需要PCI合规性(至少在英国和美国),PCI合规性水平将根据交易数量和您打算如何处理而有所不同你的数据。
在https://www.pcisecuritystandards.org/
了解详情如果不了解更多关于数据/您打算如何使用它的信息,则很难提供更多细节。
相反,如果您只是想拥有赚钱的设施并且乐于使用“托管”解决方案,那么除了SSL之外,您不需要任何其他内容。
答案 1 :(得分:2)
通常,您尝试在金融系统中保留的安全属性是
OCAP mint example描述了金融系统经常关注的几个有用的安全属性
- 只有拥有特定货币薄荷的人才可以违反该货币的保护。
- 薄荷只能膨胀自己的货币。
- 没有人可以影响他们没有钱包的余额。
- 有两个相同货币的钱包,人们可以在它们之间转账。
- 余额始终为非负整数。
- 报告成功的存款可以信任,只要有人信任存入的钱包。