aqui estoy muy verde pero algunas recomendaciones que te daria son:

- encriptar en la base de datos los datos criticos, con
http://mysql.conclase.net/curso/inde...un=AES_ENCRYPT

- utilizar ssl claro, conexiones seguras. Esto creo que es "tan simple" como colocar tu aplicacion web en un directorio del servidor protegido con ssl.

- en el momento de inicio de sesión encriptar con javascript las password antes de enviarlas, porque si no viajan hasta el servidor en texto plano.

- registro de las actividades criticas. Con esto me refiero que habra ciertas acciones donde se muestren o modifiquen datos criticos (numeros de cuenta) y esto debes controlar quien lo hace, en que momento y todo lo que puedas, por si lo necesitas mas adelante.

Esperemos que algun experto te de algun consejo mas y tambien me sirva a mi.