我有一个ASP.NET WebApi后端和一个Android客户端。基本上,当用户付款时,我需要将信用卡信息发送到我的WebApi,并通过REST将付款发送到我的网关。但我担心的是,在某些情况下,某些或某种程度上这些信息可能会被截获。为了在SQL上保存这些信息,我已经有了一个加密代码来执行此操作。我在想,我应该实现一个代码来将数据从android加密到Api并解密以进行付款然后使用我当前的加密技术存储在数据库中吗?我应该使用Rijndael吗?谢谢!
答案 0 :(得分:2)
使用HTTPS时,您应该pin the certificate,这意味着要验证您直接连接的网站是否是正确的网站。
这样做是为了验证HTTPS连接提供的证书是否是正确的网站,这可以避免MITM attacks。
Android客户端会验证连接是否直接连接到您的网关,以及您的网关是否直接连接到付款网站。
您无需再添加安全/加密。
正如亨利所说:查阅PCI DSS文件。请参阅PCI Compliance Guide。