web-dev-qa-db-ja.com

銀行のルーティング/口座番号を表示し、安全に保管する

編集:これは英国/ヨーロッパ地域向けです。

私は、銀行のルーティングと口座番号を安全に保管することについて、この記事に似た他の投稿を読んで頭を悩ませています。ルーティング番号は公開されているため、データベースではプレーンテキストにすることができます。ただし、口座番号の保存について心配しています。また、銀行口座から、ルーティング番号と口座番号だけでは何もできないことはできないことも知っています。

この情報がPCI標準に該当しないことを知っています。現在、同じサーバー上にホストされているビジネスWebアプリケーションとデータベースがあり、一部の従業員が請求書などを作成するときに参照できるように、ここにアカウントの詳細を保存します。完全に有効な役割/権限ベースのシステムがあります。 、この情報を誰に提供するかを制限できます。

私の主な関心事は、この情報のメールショットです。申し訳ありませんが、アカウントの一部が変更された場合(回収日など)、または新しいものを作成した場合は、確認書をお客様に送信する必要があります。この手紙には、銀行口座番号が表示されます。また、この情報は、お客様がオンラインポータルアカウント(当社が作成)で利用できるようにしたいと考えています。 アカウント番号をそのまま(プレーン)に保存し、紙のレターに完全な番号のみを含めることは安全ですか?オンラインバージョンは、サーバーによって部分的または完全に隠されて、表示されないことがあります。ブラウザ

それとも私はこれを考えすぎて行き過ぎですか? [〜#〜] or [〜#〜]これから離れて上司にNOの単語を強調する方が良いでしょうか?

6
MightyLampshade

それは一般的に銀行のセキュリティに依存します。ヨーロッパはアメリカよりも優れていますが、イギリスには基本的な情報のみを使用した偽造の借方の話があります。

ルーティング番号とアカウント番号が心配な場合(情報が財務情報に関係なくデータベースのリークがPRの悪夢になる可能性があるため)、内部ユーザーのみ(および共有データベースのみ)に対してアプリケーションの2番目のインスタンスを選択できます。競合状態に注意してください)。

次に、非対称暗号化を使用して機密情報をデータベースに格納し、クライアントのインスタンスに公開鍵(データベースに送信されるときに情報が暗号化されます)とバックエンドシステムで復号化するための秘密鍵を配置できます。このようにして、クライアントに公開されるフロントエンドは情報を暗号化することしかできません。

2
Lucas Kauffman