Безопасная конфиденциальная папка веб-каталога

В приложении, которое использует ussd для оплаты, а затем автономное приложение загружает токены в онлайн-приложение для использования.

Я хотел бы поделиться некоторыми путями и соображениями, которые следует взять в папку, содержащую токены в формате XML.

В настоящее время мои меры безопасности заключаются в следующем.

• Список каталогов отключен.
• Прямой доступ к папке дает 404 www.example.net/XML
• Загрузка не разрешена в папке XML
• Погашенные токены помечаются в базе данных SQL

Примечание. Чтобы получить токен, вам необходимо отправить запрос на получение www.example.net/get.php?token=cabdher.&тел = 123456789&ID = 2
Запрос вернет данные XML

Разумеется, если у вас есть конфиденциальная информация, не держите ее в сети, но я знаю, что мы можем защитить окружающую среду.

РЕДАКТИРОВАТЬ

фактический пример веб-каталога. www.mysubdomain.mydomain.net/bin/xml

Большое спасибо за дружеские ответы и помощь.