Лучшие меры безопасности при отправке номера кредитной карты в REST API из iOS

Question

Мое приложение должно взаимодействовать с API, мы можем легко сделать это для отправки и получения данных.

Сейчас мы отправляем все в виде простого текста в качестве параметра URL.

Я ни в коем случае не эксперт по безопасности, но здравый смысл подсказывает, что номер кредитной карты должен быть зашифрован во время передачи.

Сервер может беспокоиться о хранилище, моя единственная проблема - фактическая передача данных.

Из моего прочтения я понимаю, что мне нужен алгоритм шифрования с закрытым ключом, так как он должен быть обращен сервером для получения реальных данных.

Хороший уже реализованный в CommonCryptoфреймворк?

Что бы вы порекомендовали?

Я хочу сделать это с помощью iOS, и я уверен, что у каркасов безопасности есть инструменты для решения этой задачи, я просто не знаю, где искатьчто искать.

Спасибо!

Answer 1

Вы абсолютно не должны использовать параметры URL для информации о кредитной карте. URL-адреса, к которым другие клиенты в сети обращаются, могут быть легко обнаружены и записаны другими компьютерами в сети (с определенными ограничениями, конечно).

Вы должны отправлять информацию, используя параметры POST, чтобы они содержались в теле сообщения, а не в самом URL. Затем, пока вы отправляете на страницу HTTPS, данные должны быть в безопасности, без необходимости сначала их шифровать (само сообщение шифруется с использованием SSL в этом случае).