将客户ID或信用卡ID从STRIPE公开给公众是否安全?

时间:2015-05-11 00:13:35

标签: ruby-on-rails security stripe-payments

我在我的平台上使用条带付款。 Stripe为我提供了我可以在我的帐户中访问的对象的ID,

像customer_id这样的东西,就像cus_6DUY9LB2ih5Pdy

或信用卡ID,如card_1613mtB177tQO9RpJRQEFLcV

如果我有一个引用这些ID的删除链接

http://mywebapp.com/user/card_1614UyB177tQO9RpKy5Ysw10
例如,该链接将从条带和本地数据库中删除该卡

将这些ID公开给公众是否安全?

是否有人可能会使用卡ID进行恶意攻击(如创建费用?)

2 个答案:

答案 0 :(得分:0)

处理支付卡数据的系统通常需要遵守PCI DSS要求,因此您应该咨询您的法律部门,了解您可能对您的客户或持卡人做出的任何承诺。

一个很好的起点是PCI Standards --- getting started

答案 1 :(得分:0)

要得到一个标记的答案,确认@koopajah 在多年前对该问题的评论中所说的话:

<块引用>

这些 ID 特定于您的帐户,仅适用于您的密钥

所以它们是安全的(没有其他人可以使用它们),但是您可能不想暴露这些或围绕它们构建太多依赖项。相反,使用您自己的数据表示作为对它们的引用。