Ich erstelle eine Zahlungsverarbeitungsseite für die Verwendung über Stripe und möchte, dass meine Kunden gespeicherte Karten verwalten oder eine neue verwenden können. Ich bin besorgt, dass ich mit einigen Kundeninformationen und der Möglichkeit, zu viele Karteninformationen meinen Servern auszusetzen, zu kurz kommen.
Wenn ich vertrauliche Informationen wie die letzten 4, das Exp-Datum usw. abrufe, sollte ich einige Mittel zur Verschlüsselung verwenden oder ist es völlig in Ordnung, Teile dieser Informationen für Beziehungen serverseitig an meinem Ende anzuzeigen oder zu speichern?
EDIT: New dev hier sanft :)Stripe-Karte info Best Practices usw.
Antwort
Die einzige PCI-sensiblen Informationen ist die gesamte Kartennummer und die CVC.
Die Marke der Karte, die letzten 4 Ziffern und das Ablaufdatum sind nicht empfindlich. Wenn Sie Stripe verwenden, können Sie diese Informationen die card object's Attribute abrufen, z. exp_month
und exp_year
usw.
Aus Sicht der PCI-Compliance müssen Sie keine besonderen Maßnahmen ergreifen, um mit diesen Daten umzugehen, da sie nicht als sensibel gelten. Meine Empfehlung wäre, entweder einfach die Informationen von Stripe nach Bedarf abzufragen, sie anschließend zu verwerfen oder sie unverändert in Ihrer Datenbank zu speichern (im letzten Fall sollten Sie wahrscheinlich webhooks verwenden, um sicherzustellen, dass Ihre Datenbank synchronisiert ist mit Ihrem Stripe-Konto).
Danke für die Info! –
Nun seine Karteninhaber Daten und vorbehaltlich der PCI-Compliance, aber die PCI-Compliance für diese Ebene von Informationen UND Stripe.js oder Stripe Checkout erforderlich ist PCI SAQ A-Konformität, die mit Stripe bedeutet nur mit einem SSL-Zertifikat. –