英国の銀行口座とソートコードをMongoDBデータベースに保存する
私が勤めている会社は、一度に20〜50人のユーザーに毎月の支払いを送る必要があります。これらのユーザーは月ごとに変更できます。通常、各ユーザーは2〜3か月間、弊社からお金を受け取ります。
ユーザーは、詳細を入力するフォームに入力します。
私たちは、少なくとも彼らが支払われている期間、彼らの銀行口座番号とソートコードをデータベースに保存できるようにしたいと考えています。 HTTPSを使用していますが、これ以上のセキュリティ対策が必要かどうかを知りたいです。
私は答えを見つけるためにいろいろと調べましたが、この使用例に関連するものは何も見つかりませんでした。私たちは英国に拠点を置いており、英国のアカウントにのみ支払いを送信します。
もちろんHTTPSは必須です。しかし、より多くのセキュリティオプションがあります。私はあなたにいくつかの基本を提供することができます:
- サーバーテクノロジー
[〜#〜] hsts [〜#〜] (Http Strict Transport Security)を実装して、クライアントにHTTPS接続の使用を強制する必要があります。
バックエンドテクノロジー(Java、PHPなど)を指定していません。既知のエクスプロイトを回避するには、サーバーを最新バージョンに更新する必要があります。たとえば、PHPの場合、古いバージョンには多くの悪用の可能性があります。
DoS (Denial of Service)攻撃を回避するように周辺ファイアウォールを構成する必要がありますが、非常に基本的な既知のDoSは回避できますたとえば、 Slow Loris のような攻撃は、サーバー構成を強化するだけです。
バナーとサーバー署名をできるだけ無効にして、ソフトウェアとバージョン(O.S.、Webサーバーテクノロジーなど)の識別を困難にしようとします。
- コード
あなたのバックエンド注入は証拠ですか?回避するには、「危険な」文字のフィルタリングとサニタイズを確実に行う必要があります [〜#〜] xss [〜#〜] 、 SQLインジェクション およびその他の可能な攻撃。これは重要なポイントの1つです。
[〜#〜] csrf [〜#〜] 攻撃は回避する必要があります。これを防ぐには、何らかのメカニズム(通常はセッションハッシュ、トークンなど)を使用して正しいセッション処理を実行する必要があります。
- 周縁セキュリティ
[〜#〜] waf [〜#〜] (Webアプリケーションファイアウォール)は、サイトに対する多くの攻撃をフィルタリングするのに適したオプションです。とにかく、これは安全なコーディングを補完するものでなければなりません。セキュリティがこの要素のみに依存する必要はありません。
IDS/IPS (侵入検知システム/侵入防止システム)は、銀行の会計データなどの機密情報を管理している場合は(私の意見では)必須です。攻撃を検出/防止できる必要があります。
他にもありますが…初めは十分だと思います。 :)