我试图设计一个支付API,它需要通过网络发送CC信息。因此,我考虑使用公钥来加密CC信息并在服务器上解密它。请记住,连接也是https。有关该主题的任何建议吗?
答案 0 :(得分:2)
如果连接是https加密它第二次将没有任何好处,除非有人违反SSL / TLS。在这种情况下,相信我你的API将是世界上最少的问题..
答案 1 :(得分:0)
如果连接是HTTPS,则无需加密CC详细信息。
答案 2 :(得分:0)
与之前的答案相反,我强烈建议您阅读PCI-DSS。基本上,您希望保持卡号加密,直到纯文本中绝对需要,例如授权或结算时。目前还不清楚你的api调用究竟会做什么,但猜测你几乎肯定不希望卡号一旦到达你的网络服务就以纯文本显示。
此外,如果您有一个捕获卡详细信息的客户端组件,那么这将受到PA-DSS的审查。