Stripe-Karte info Best Practices usw.

Question

Ich erstelle eine Zahlungsverarbeitungsseite für die Verwendung über Stripe und möchte, dass meine Kunden gespeicherte Karten verwalten oder eine neue verwenden können. Ich bin besorgt, dass ich mit einigen Kundeninformationen und der Möglichkeit, zu viele Karteninformationen meinen Servern auszusetzen, zu kurz kommen.

Wenn ich vertrauliche Informationen wie die letzten 4, das Exp-Datum usw. abrufe, sollte ich einige Mittel zur Verschlüsselung verwenden oder ist es völlig in Ordnung, Teile dieser Informationen für Beziehungen serverseitig an meinem Ende anzuzeigen oder zu speichern?

EDIT: New dev hier sanft :)

Answer 1

Die einzige PCI-sensiblen Informationen ist die gesamte Kartennummer und die CVC.

Die Marke der Karte, die letzten 4 Ziffern und das Ablaufdatum sind nicht empfindlich. Wenn Sie Stripe verwenden, können Sie diese Informationen die card object's Attribute abrufen, z. exp_month und exp_year usw.

Aus Sicht der PCI-Compliance müssen Sie keine besonderen Maßnahmen ergreifen, um mit diesen Daten umzugehen, da sie nicht als sensibel gelten. Meine Empfehlung wäre, entweder einfach die Informationen von Stripe nach Bedarf abzufragen, sie anschließend zu verwerfen oder sie unverändert in Ihrer Datenbank zu speichern (im letzten Fall sollten Sie wahrscheinlich webhooks verwenden, um sicherzustellen, dass Ihre Datenbank synchronisiert ist mit Ihrem Stripe-Konto).