Tach!

Um Daten, insbesondere sensiblen Daten wie Adresse besser schützen zu können wäre eine verschlüsselte Übermittlung über https schon mal ein Anfang. Ist das in Deutschland Pflicht?

Das weiß ich nicht, aber ich lese in zunehmendem Maße, dass Datenschutzbehörden die Anwendung gängiger Methoden zum Datenschutz einfordern. Zum Beispiel, dass Email-Server Verschlüsslung können müssen.

• wie lange darf/sollte ich Anfragendaten maximal darin aufbewahren?

Das kommt darauf an, ob und welche gesetzlichen Verpflichtungen es für diese Branche gibt. Allgemein ist es wohl so, dass es nur solange aufzuheben ist, wie es für den Vorgang notwendig ist.

• Muss das PHP-Admin zur Verwaltung der Daten ebenfalls über https laufen auch wenn die Applikation in einem passwortgeschützten Bereich htacess aufgerufen wird?

Wenn du gegen mitlesende Angriffe geschützt sein willst, reicht ein im quasi Klartext übertragenes Passwort nicht aus. Es hält lediglich (je nach Güte) einfachere Angreifer ab (was vermutlich schon die Masse der Einbruchsversuche ausmacht).

dedlfix.