我对条带流的定制是否安全?

时间:2016-07-01 04:05:31

标签: ios stripe-payments

我正在努力将Stripe与我的iOS Swift应用程序连接起来处理付款。下面是我发现的流程图,其中包含将Stripe与iOS应用程序集成的传统流程图。这里是: Suggested Stripe flow chart 我想知道我是否可以将此流程图更改为以下步骤:

  1. [从手机到网络服务器]发送包含预订信息的请求令牌。
  2. [从Web服务器到Stripe]发送存储在Web服务器上的信用卡数据。
  3. [从条带到网络服务器]返回令牌。
  4. [从Web服务器到Stripe]发回令牌,确认交易。
  5. [从Stripe到Web服务器]事务响应。
  6. [从网络服务器到手机]交易响应。

    7. 显然,主要区别在于将带有预订请求信息的令牌发送到Web服务器,而不是将信用卡数据发送到条带。这避免了不得不经常询问用户他们的信用卡信息,因为该信息存储在网络服务器上。这看起来安全吗?

1 个答案:

答案 0 :(得分:6)

你提出的建议是一个坏主意,它忽略了Stripe的观点。

如果您在服务器上存储信用卡数据,则必须符合PCI标准。 (这可能实际上也违反了Stripe的条款和条件;我不确定,但你应该检查并询问律师。)它还会让你面临很多潜在的问题。想象一下,如果你的服务器有一天被黑客入侵。如果您处于诉讼地点或拥有大量隐私法律和法规(如欧洲或美国),那么如果卡信息被盗,您的生活将会比只有令牌被盗时更糟糕。

使用Stripe API生成客户并将卡与该客户关联,而不是存储卡数据。您存储这些API调用生成的ID,而不是原始卡数据。然后,使用Stripe生成的客户ID,您可以对该卡进行收费,但无需自己存储卡数据。

相关问题
最新问题