在php / mysql应用程序中收集和存储银行帐户详细信息时的安全注意事项
作者:互联网
我们被要求研究申请的可行性,以收集银行帐号和分类代码,并通过无纸化直接借记系统临时存储以进行离线处理.
数据将通过256位SSL连接从网站访问者收集并存储在mySQL数据库中,供我们的客户稍后收集.这些数据将暂时保留,直到下载,此时它将从数据库中删除.
细节:
我们在这个特定的服务器上托管了一些其他网站
没有人对服务器进行shell访问或FTP访问
服务器符合PCI标准
Mod_security和其他在机器上运行的软件
我知道这与Best practices for storing bank information in a database这个问题非常相似,并且很欣赏大部分回复都要明确.
我理解安全注意事项列表可能非常大.
我们应该关注哪些特定的安全领域?
解决方法:
使用非对称加密,以便在插入数据库之前对数据进行加密,但是不存储必要的密钥来解密服务器上的数据.
此密钥只应存储在客户端,因此可以在从服务器检索密钥后对其进行解密.
仍然有这种保护,你将需要创建一个类似的隧道,以便他们安全地连接到您的服务器.如果你打算让他们直接连接到MySQL,我应该提到不可接受地接受与MySQL监听端口的外部连接.如果他们有静态IP,您可以使用软件或硬件防火墙以这种方式限制它,如果创建VPN不适合您.
这个answer提供了一些关于使用PHP内置的openssl_ *函数进行非对称加密的信息.
如有必要,请要求澄清/扩展任何一项.
标签:php,mysql,security,banking 来源: https://codeday.me/bug/20190521/1147878.html