我正在开发一个API,我想知道是否还有用户输入他们的信用卡信息以通过API进行支付。类似的东西:
requests.POST(url, data = {
api_key: 'asdf',
api_secret: 'asdf'
cc_number: '1234123412341234',
cc_cvc: '1234',
cc_exp: '2014-10-01'
}
如果我没有保存信用卡信息,是否可以在API调用中允许此信息?实际付款将由Braintree或Stripe处理,但我需要对用户进行身份验证并将更新保存到我的数据库中。
答案 0 :(得分:2)
反对它有很多。你会想要在这个问题上坚持PCI guidelines,特别是......
支付卡行业数据安全标准(PCI DSS)是一系列要求,旨在确保所有处理,存储或传输的公司信用卡信息保持安全的环境。基本上任何拥有商家ID(MID)的商家。
只有在以下情况下才能通过电汇进行任何信用卡号码的操作:
玩信用卡就像玩铀一样。你可以从中获得巨大的利益,但是一次泄漏和混乱将花费数年的时间来清理。让它成为一个很大的足够的漏油事件,你的职业生涯可以放射性。
答案 1 :(得分:0)
至少需要使用SSL。
然而,有一个名为PCI-DSS的小东西涵盖了这类东西,还有更多东西。
基本上,在PCI兼容系统(Braintree,Stripe和大多数其他支付网关)之外收集持卡人数据会给您自己或您的商家带来繁重的PCI合规义务,如果可能,您应该尽量避免使用。< / p>
您可以查看使用您建议的付款网关提供的令牌化服务,如果可以使其适合您的付款工作流程。