如果依靠braintree进行付款处理,我仍然可以存储哪些信用卡信息,同时仍然符合PCI标准?
我问的原因是,作为一个简单的优化,如果客户已经使用信用卡从我的商店购买了东西,我可以向他们显示他们信用卡的最后4位数和卡片类型,必须对BrainTree进行API调用。如果他们想要更换卡片或进行购买,我必须拨打电话,但对于那一页,我不会。
问题是,我可以存储:
或者哪里有PCI合规列表“做与否”我可以查看?
答案 0 :(得分:22)
是的,存放这些东西很好。
查看PCI Quick Reference Guide,了解您应该和不应该做的事情。
答案 1 :(得分:3)
如前所述,可以存储该数据。
关于“注意事项”,看看Open Web Application Security Project(owasp.org)是值得的。特别是,请查看有关如何开发安全Web应用程序的OWASP指南(此处为http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download)。它们涵盖从第53页开始的PCI合规性和最佳实践。
答案 2 :(得分:0)
我会使用像attr_encrypted gem这样的东西来保护数据库中的数据(参见https://github.com/shuber/attr_encrypted)。