我使用一件东西销售并使用“付款”的应用是Google Pay。 Google Pay中有两种类型的令牌化方法。我参考了Google工资单。但这很难理解。
有直接令牌化方法。
1)如何集成直接令牌化?。
2)什么是PCI DSS合规性?
3)什么是公钥以及如何进行加密和解密过程?
答案 0 :(得分:1)
对于上下文,有两种与Google Pay集成的方式:
建议使用PSP方法,因为合作伙伴PSP负责管理用户的付款凭证,并且与PCI and DSS compliance息息相关。
使用DIRECT集成方法时,您必须承担PCI合规性义务,并且需要向Google提供您PCI compliant的证据:
如果完成DIRECT
tokenizationSpecification类型的集成,则必须每年通过Google Pay开发人员资料轮换您的公共加密密钥,并向Google提供PCI证明。可以由PCI Security Standards Council认证的第三方或合格的安全评估员提交PCI认证,并由Approved Vendor或Qualified Assessor批准。
回到实际问题:
借助DIRECT集成,Google Pay将使用您在Google Pay developer console(必须为signed up as a merchant)中提供的公用密钥和付款请求来加密用户的付款详细信息。然后,您将获取加密的有效负载,并使用私钥对其进行解密。
有关如何管理加密和解密的信息,可以在这里找到:https://developers.google.com/pay/api/android/guides/resources/payment-data-cryptography#using-openssl
重要的位:
# generate private key openssl ecparam -name prime256v1 -genkey -noout -out key.pem # generate a base64-encoded public key openssl ec -in key.pem -pubout -text -noout 2> /dev/null | grep "pub:" -A5 | sed 1d | xxd -r -p | base64 | paste -sd "\0" -
可在以下位置找到有关PCI合规性相关信息的良好来源:https://www.pcicomplianceguide.org/faq/
仅供参考,我在此处提供了类似的答案,并提供了有关整个流程的更多详细信息:Where is Google pay Developer account and how to generate public key to upload in it?