【问题标题】:Secure web form for accepting bank routing and account numbers用于接受银行路由和帐号的安全 Web 表单
【发布时间】:2012-02-11 19:54:36
【问题描述】:

我们有一个网站,我们需要在其中获取想要注册每月 ACH 提款的客户路线和银行账户编号。我想知道实现这一目标的最佳方法。我考虑过首先将表单设置为 SSL/https 链接并使用 .htaccess modrewrite 强制它。目前,我们通过电子邮件将提交给网站的任何信息的结果 web 表单。我的下一个问题是如果您使用 smtp TLS 等,从服务器发送的电子邮件加密?换句话说,最好将数据从服务器安全地传输回我们的电子邮件。或者使用电子邮件传输数据完全是个坏主意。非常感谢任何帮助/建议。

注意:我想补充一点,我们实际上并没有执行 ach。我们只是获取信息并将其传递给供应商以执行 ach。目前,这是他们传真的书面和签名表格​​。我们可以继续这个过程。我只是想自动化这部分。但是,最好将这部分外包出去?

【问题讨论】:

  • 这些数字的存储可能有一个标准,但我不知道。我会坚持PCI Standard for Credit Cards
  • 通过电子邮件发送这类东西是个坏主意,即使它在传输过程中已加密 - 因为某些电子邮件帐户是共享的,或者在不安全的工作站上使用。
  • 我想补充一点,我们实际上并没有执行 ach。我们只是获取信息并将其传递给供应商以执行 ach。目前,这是他们传真的书面和签名表格​​。我们可以继续这个过程。我只是想自动化这部分。但是,最好将这部分外包出去?
  • @halfer 代表“自动票据交换所”,它是一个电子网络,允许从一个银行账户扣款到另一个银行账户。如果我记得我认为它类似于欧洲银行的 Giro 付款。
  • 每天都能学到新东西!谢谢。

标签: php email encryption ssl


【解决方案1】:

实现这一目标的最佳方式是将其外包给已经符合 PCI DSS 规则、当地金融法规等的金融机构。

我再重复一遍:不要自己动手。让其他知道发生了什么的人为您做这件事。

有提供这种服务的服务:Amazon Payments、Dwolla... 为什么需要处理实际帐号?您关心的是现金是否到达您手中,而不是它的确切来源。

不,电子邮件不安全。除非你加密它,如果你不得不问这个问题,你不是。 切勿以纯电子邮件形式发送机密信息。 (专家警告:没有中间中继连接到 DNSSEC 提供的 IP 地址的 TLS 安全 SMTP 会话是相当安全的。但是,普通的 Joe 能否正确实现这一点值得怀疑。

【讨论】:

  • 我每天都在处理 PCI 合规问题,我不能说比 @Borealid 更好了。不要冒险!
  • 我认为,如果 (a) 您非常小心并酌情使用加密等并且 (b) 您没有将它们存储在您的数据库。如果您未通过其中任何一项测试,请听从 Borealid 的建议。 +1
  • @halfer:我敢说底线是 if 你问的是 SO 那么你可能还不够专家。
  • @Borealid 我只想说我对 PCI 合规性有一个大致的了解,我们有使用电子商务购物车的网站,我们使用亚马逊支付、paypal、auth.net 和 ARB,而我们没有将任何信息存储在我们的服务器等上。也就是说,在尝试自动化我们的 ACH 注册表单的传真部分时,您是正确的,它确实会带来相同类型的安全问题。谢谢。
猜你喜欢
  • 2014-07-26
  • 1970-01-01
  • 1970-01-01
  • 2021-01-26
  • 2019-02-15
  • 1970-01-01
  • 2011-12-16
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多