我想为每个用户保存信用卡信息和账单信息(就像亚马逊一样),只是他们不必在每次付款时都键入它。我已经实现了带区令牌的实现,并且一切正常,此功能只是为了获得更好的用户体验。但是,我不知道如何以安全的方式执行此操作,例如加密所有信息。 存储此类信息的最佳方法是什么?
答案 0 :(得分:1)
如果您使用的是Stripe,则不必加密任何付款信息,如果您使用的是它们的较新集成,则这些信息将由Stripe处理。
用户在由Stripe托管的表单上输入其详细信息(例如Elements / Checkout)[0]
原始信用卡详细信息永远不会触碰您的系统,只有Stripe的。
您会从Stripe的API收到不敏感的支付令牌代币,该代币表示输入的详细信息,但自身并不敏感。
您可以使用Stripe的API对该令牌收费或将其保存以供以后重用。 [1]这样做没有PCI负担,因为您永远不会存储任何敏感的付款信息,仅存储来自API的ID。 [2]
您唯一需要担心的就是保留您的Stripe秘密密钥secret and secure,以及用于管理API密钥的标准做法。
[0]-https://stripe.com/docs/quickstart
[1]-https://stripe.com/docs/saving-cards
[2]-https://stripe.com/docs/security#validating-pci-compliance
答案 1 :(得分:0)
如果要存储信用卡信息,则需要实施所有PCI DSS standard。这不是可选的,您的商家协议将要求您这样做。实际涉及的内容远远超出了此处的答案范围-这是一份139页的文档,非常简洁。简短的摘要是:除非您具有丰富的IT安全经验并且知道自己在做什么,否则请不要用笨拙的方式碰它。