Si IBAN et les coordonnées bancaires devraient être considérées comme des données privées et cryptées?
Pour payer nos utilisateurs, ils sont invités à entrer dans leur iBAN et leur nom de banque et leur adresse bancaire. Les utilisateurs sont principalement basés en Europe.
Pour autant que je sache (voir aussi cette question ) Ces détails ne peuvent pas être utilisés pour retirer de l'argent sans vérification (débit direct en Allemagne?).
Souhaitez-vous crypter ces détails? Ou en d'autres termes, est-il considéré comme une bonne pratique pour les protéger particulièrement? (Comme vous ne stockez pas les mots de passe en clairtext, mais plutôt comme un hash)
En tant qu'épan européen, je considère que mon IBAN soit mes informations privées, tout comme mon adresse e-mail, votre nom réel, une adresse personnelle et une adresse IP. J'aimerais que vous soyez pas de store l'un d'entre eux, mais si vous devez, veuillez les chiffrer et vous assurer que mes informations (c'est mes informations, pas la vôtre) est sécurisée.
Donc, pour répondre directement à votre question, oui, crypter et ne stockez pas la clé ni le cryptage/décryptage sur les demandes utilisateur du traitement du serveur.
Je conviens que la plupart des Européens verront leur IBAN en tant que données privées et veulent qu'ils soient cryptés.
Mais il y a une autre raison convaincante de chiffrer et de signer les ibans: un homme-in-the Middle attaquant peut les modifier malicieusement pour recevoir l'argent que vous souhaitez payer. Donc, vous devriez protéger toute IBAN contre cette menace.