Безопасный способ хранить информацию о кредитной карте на разных страницах ASP.NET MVC

Question

Я использую ASP.NET MVC и мне нужен безопасный способ временного хранения данных кредитной карты (у меня есть страница подтверждения заказа, на которой публикуется действие, которое фактически обрабатывает заказ). Я пробовал TempData, но это не переживает пост. Могу ли я безопасно использовать сессию, поскольку она хранится на сервере?

Спасибо.

Answer 1

Вы действительно не должны даже запрашивать цифры до последнего шага в процессе. Кроме того, вы также должны использовать SSL для всего периода процесса. Если вы решили сохранить их в сеансе, зашифруйте их просто для дополнительной степени безопасности.

Answer 2

Sessons небезопасны (спасибо комментаторам за исправление меня в этом). Они не только подвержены атаке грубой силы, но и имеют ряд других уязвимостей. http://www.dreamincode.net/forums/showtopic61503.htm

Если вам абсолютно необходимо использовать сеансы для хранения ваших данных, обязательно используйте подходящий тайм-аут сеанса, чтобы люди случайно не оставили данные своей кредитной карты на общедоступном компьютере.

Однако я настоятельно рекомендую вам ознакомиться со стандартом безопасности данных индустрии платежных карт (PCI DSS). https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Answer 3

Состояние сеанса сохранит информацию, но она не является безопасной. Имейте в виду, что любой вид настойчивости может нарушать условия обслуживания банка или кредитного агентства. Большинство из них имеют очень строгие правила относительно того, что вам разрешено делать с этой информацией.