Прежде всего, лучше никогда не хранить информацию такого типа в виде простого текста. Обычно люди воспринимают это как информацию из вторых рук для номеров кредитных карт (к сожалению, только по юридическим причинам), но любые личные данные, которые не нужны другим пользователям с доступом к базе данных / исходному коду, должны быть зашифрованы. Вы должны хранить информацию об учетной записи где-нибудь в хорошо зашифрованном формате, и вы должны предоставить тестовую учетную запись для своих разработчиков для использования на своих рабочих станциях. Таким образом, только люди, имеющие доступ к серверу, могут видеть даже зашифрованную информацию.
Таким образом, вы можете иметь базу данных на рабочей станции разработчика с информацией API тестовой учетной записи, хранящейся (вероятно, зашифрованной) в своей локальной базе данных, но когда код зеркально отображается на рабочем сервере, он все равно будет использовать реальный, настоящий шлюз информация хранится в базе данных производственного сервера без дополнительного кода / конфигурации.
С учетом сказанного, я не думаю, что программист с деталями аутентификации API может сделать слишком много. В любом случае, риск не стоит, по моему мнению.
Надеюсь, эта помощь.
PS: Если что-то плохое действительно случается, вы всегда можете сгенерировать новый ключ в веб-интерфейсе на authorize.net после того, как вы приняли меры предосторожности, чтобы убедиться, что это не повторится.