Как безопасно сохранить платежную информацию и информацию о кредитной карте?

Question

Я хочу сохранить информацию о кредитной карте и платежную информацию (точно так же как Amazon) для каждого пользователя, только им не нужно вводить его каждый раз, когда он хочет заплатить. У меня уже есть реализация ленточных токенов, она работает и все, эта функция только для лучшего пользовательского опыта. Однако я не знаю, как я могу сделать это безопасным способом, например, зашифровав всю информацию. Каков наилучший способ хранения такой информации?

Answer 1

Если вы используете Stripe, вам не нужно шифровать какую-либо платежную информацию, это все обрабатывается Stripe, если вы используете их более новые интеграции.

• Пользователь вводит свои данные в форму, размещенную на Stripe (например, Elements / Checkout) [0]

• Необработанные данные кредитной карты никогда не касаются вашей системы, только система Stripe.

• Вы получаете обратно нечувствительный платеж токен от API Stripe, который представляет введенные данные, но сам по себе не является чувствительным.

• Вы можете использовать API Stripe для зарядки токена или сохранить его для последующего повторного использования. [1] Это не обременяет PCI, так как вы никогда не храните конфиденциальную информацию о платеже, а только идентификаторы из API. [2]

Единственное, о чем вам нужно беспокоиться, это о сохранении секретного ключа Stripe, ну, в общем, в секрете и безопасности со стандартными методами управления ключами API.

[0] - https://stripe.com/docs/quickstart

[1] - https://stripe.com/docs/saving-cards

[2] - https://stripe.com/docs/security#validating-pci-compliance

Answer 2

Если вы собираетесь хранить информацию о кредитной карте, вам необходимо внедрить все стандарты PCI DSS .Это не обязательно, ваше торговое соглашение потребует, чтобы вы это сделалиТо, что на самом деле включает в себя, выходит далеко за рамки ответа здесь - это документ на 139 страниц, и это довольно кратко.Краткое резюме будет таким: не трогайте это с помощью штанги баржи, если вы не обладаете обширным опытом в области ИТ-безопасности и не знаете, что делаете.