我希望构建一个移动应用程序,将信用卡信息发送给aws-lambda微服务,然后将该信息提交给条带。我担心PCI合规性/安全性,我想知道是否有我遗漏的东西。以下是我的计划:
1)用户使用PCI兼容密码登录 - 并分配唯一ID并获取Cognito访问密钥。
2)用户在移动应用中输入付款信息。然后,应用程序使用HTTPS通过POST请求将该信用卡数据发送到经认证的认证aws-lambda实例(api网关用于创建端点)。
3)成功发布请求后,该应用会删除本地信用卡数据。
4)lambda实例使用KMS解密加密的条带秘密访问密钥。
5)lambda实例使用Stripe NodeJS sdk将数据发送到条带并在数据库中存储条带标记。
6)Lambda实例在任何时候都不会保存任何信用卡数据 - 它只会将Stripe令牌写入数据库。
这里有什么我想念的吗?有什么我应该关注的吗?
编辑:
其他信息: 信用卡详细信息在应用程序内收集并存储在应用程序状态,直到删除为止。 https POST不使用Stripe工具,因为我使用的是React Native。
答案 0 :(得分:1)
除了我们在评论中的讨论之外,您还可以编写一个服务包装器,使用他们的JavaScript API将数据直接POST到Stripe。您只需在应用中嵌入公共API密钥即可。
请参阅此博文中的解决方案:http://blog.bigbinary.com/2015/11/03/using-stripe-api-in-react-native-with-fetch.html