Sehe ich genauso, natürlich sollte das was Du tust gut durchdacht sein. Ebenso sollte die Testphase großzügig berechnet werden, aber das sollte eigentlich bei jedem größerem Projekt der Fall sein. Informiere Dich auch mal bei Google, dort werden schon einige Sicherheitslücken von solchen Projekten beschrieben, das könnte Dir echt helfen.
Die Frage ist nun wie die Daten übermittelt werden, also Kontonummer, Adresse usw. wenn die Anmeldung auch übers Handy erfolgt sollte das kein Problem sein (jedenfalls nicht Deins). Muss sich der User erst auf der Website anmelden, so fährst Du - denke ich - mit PHP auf der sicheren Schiene obwohl ich ja immer mehr zu Java und JSP empfehle normalerweise...
Viel Erfolg.
GBY Syd