Безопасность для веб-приложений

Я работаю над веб-приложением, и мы готовимся его запустить. Поскольку он будет хранить конфиденциальные данные для пользователей, я хочу, чтобы он был максимально безопасным. Вот список того, что мы сейчас делаем ...

• Запуск приложения на Heroku (Ruby on Rails)
• Сайт зашифрован с использованием 256 SSL (с включенным принудительным SSL).
• Файлы cookie зашифрованы, и мы проходим тест Firesheep.
• Их пароль и все в база данных зашифрована односторонним образом ... так что даже если кто-то получит доступ к базе данных, это будет бесполезно.
• Мы не храним никаких ключей или паролей открыто в исходном коде, а используем Config Vars

Кроме того, что еще должны / могли бы мы делать. Мы рассматриваем возможность сканирования сайта McAfee, но они процитировали нам 2500 долларов в год. Не уверен, что оно того стоит.

Есть ли у кого-нибудь какие-нибудь предложения?