在网站上处理银行信息(不存储)

Question

我有使用均值栈的网站，并通过HTTPS访问。我希望用户输入他们的银行帐户详细信息，但我不想存储银行详细信息(因为我认为可能存在责任和安全方面的问题)。然后这些信息将被发送到像Transferwise这样的第三方网站，在那里我可以将钱发送到用户的银行账户。

我的问题是，当我在我的网站上输入用户数据时，我需要采取任何安全预防措施吗？

Answer 1

你问了一个非常宽泛的问题，因此你会得到一个宽泛的答案。不将任何数据持久化在数据库中会有很大帮助，但由于在服务器端记录敏感数据或由于服务器/TLS配置错误，您仍然可能失败。

您可能希望是PCI DSS兼容的(或者至少要知道这样的东西是存在的，以及您的应用程序如何与该标准相关)。满足OWASP ASVS至少1级的需求也会很好。