Что происходит с данными, которые возвращаются API и игнорируются

Question

Надеюсь, у вас все хорошо, я не разработчик, и я хотел бы извлечь из этого огромный опыт.У меня странный вопрос, что я не могу принять ответ, который мне дали, поскольку он не суммируется с точки зрения безопасности.

ситуация в том, что наш API передает токен со ссылочным номером для оплатыпоставщику платежных карт, который соответствует стандарту безопасности данных индустрии платежных карт, мы не хотим такой ответственности, поэтому заключаем с ним договор.Клиент вводит все данные (имя, номер карты и т. д.) на сайте контрагента.У них есть защищенный портал отчетности, который мы делаем для отчетов о ежедневных транзакциях, возвратах и ​​т. Д., Поэтому нам не нужно иметь какие-либо данные, кроме ссылочного номера, чтобы объединить их с токеном, отправленным от нас.Ранее сегодня выяснилось, что их API возвращает не только токен с уникальной ссылкой, которая нам нужна, но и имя, последние 4 цифры карты, адрес и другую идентифицируемую информацию, которая нам не нужна или которую мы не хотим видеть.

Ответ Подрядчика был, и я цитирую «просто игнорируйте данные, которые возвращаются через API, и вам это не нужно».Я спрашивал их, что происходит с этими данными несколько раз, и они не дали прямого ответа, они просто сказали, что другие организации используют его таким образом, без проблем ... что, как вы ожидаете, привело меня к совершенно базурке.

Я нашел этот 5-летний ответ, который говорит, что исчезает в эфире.Я не могу согласиться с тем, что данные просто исчезают, вставьте сюда вопросы о ВВП

Что происходит с возвращаемыми значениями неиспользованной функции?

Извинения за разглагольствование

TLDR: мы отправили токен с неидентифицируемой личной информацией поставщику платежных карт черезAPI, API провайдеров карт возвращает имя, карту, адрес и другие идентифицируемые данные.Ответ провайдеров карт просто игнорирует информацию, возвращенную из API, который вам не нужен.

Заранее благодарим вас за всю вашу помощь.

Answer 1

Так как вы используете веб-сайт для связи с этим API, я постараюсь разобрать происходящее.

Вы вводите номер на своем веб-сайте, который, в свою очередь, становится ключевой ссылкой для вызова API обработчику платежей.Процессор получает номер ссылки и получает информацию, относящуюся к этому номеру, из своей базы данных.Затем они отправляют эти данные в ответ на ваш вызов API, и данные возвращаются на веб-сайт.Теперь я просто размышляю здесь, но я предполагаю, что ваш сайт не делает ничего с этими данными, кроме как отображать их.В этом случае данные хранятся в энергозависимой памяти на сервере, на котором работает веб-сайт.Энергозависимая память (RAM) - это память, которая недолговечна, если потребуется место, она будет перезаписана или, если система выключена, она будет немедленно стерта.Даже когда эти данные находятся в энергозависимой памяти, они используются только в контексте вашей сессии на веб-сайте.Когда вы покидаете страницу, нет никакого реального способа (легкого в любом случае) вернуть эти данные.Он может все еще существовать в ОЗУ, но он больше никому не доступен и будет уничтожен или перезаписан, как только сервер поймет, что он больше не используется.

Однако существует вероятность, что ваш веб-сайт сохранит ответы API, которые вы вернете, в свою собственную базу данных.Похоже, это не тот случай, но я не уверен.Но чтобы в конечном итоге ответить на вопрос, вы можете проигнорировать эти данные, и они не очень уязвимы или недоступны для внешнего мира, поэтому вам не нужно беспокоиться о том, что они попадут в чужие руки в этом случае.Я надеюсь, что это поможет вам!Дайте мне знать, если я смогу кое-что прояснить для вас!

Answer 2

Если никто не использует данные, не просматривает и не хранит их - если они просто игнорируются - тогда, да, они исчезают.

В частности, на компьютере, который их получает, этовозможно, записано в некоторое пространство в энергозависимой памяти, а затем пространство используется повторно и перезаписывается при следующем поступлении ответа. Концептуально, по крайней мере.данные, которые получены, независимо от того, использует ли приложение их или нет, но кроме этого, не зная, что делает приложение, невозможно угадать дальше.