如果我依靠Braintree进行付款处理,那么在符合PCI规定的情况下,我可以存储哪些信用卡信息呢?我的原因是,为了简单优化,如果顾客已经使用信用卡在我的商店购买过物品,我可以显示他们信用卡的最后4位数字和卡类型,而无需向BrainTree发出API调用。如果他们想要更改信用卡或进行购买,我就必须进行调用,但是对于该页面,我不需要这样做。问题是,我是否可以存储以下信息:信用卡的最后4位数字、卡类型以及可能的持卡人姓名?还是有哪个PCI合规性的“做与不做”的列表可以查看呢?
使用Rails中的Braintree,我可以在保持符合PCI标准的情况下本地存储哪些内容?
23
- Lance
3个回答
4
正如先前所述,存储该数据是可以的。
关于“应该做和不应该做的事情”,值得查看Open Web Application Security Project (owasp.org)。特别是,请查看他们的OWASP指南(可在此处获取:http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download),了解如何开发安全的Web应用程序。从第53页开始,他们涵盖PCI合规性和最佳实践。
关于“应该做和不应该做的事情”,值得查看Open Web Application Security Project (owasp.org)。特别是,请查看他们的OWASP指南(可在此处获取:http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download),了解如何开发安全的Web应用程序。从第53页开始,他们涵盖PCI合规性和最佳实践。
- David Sulc
0
我会使用像attr_encrypted gem这样的工具来保护数据库中的数据(请参见https://github.com/shuber/attr_encrypted)。
- jschorr
1
2谢谢,看起来不错。真的!除了有人说它完全不安全的问题!https://github.com/shuber/attr_encrypted/issues/32。请改用https://github.com/danpal/attr_encrypted。 - Ivan -Oats- Storck
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接