1
我正在创建通过条纹使用的付款处理页面,我希望能够让我的客户管理保存的卡片或使用新的卡片。我很担心客户信息太多,以及将太多卡信息暴露给我的服务器的可能性。
如果我检索像last 4,exp date等敏感信息,我应该在其上加入一些加密手段,还是显示或存储关于服务器端的信息片段是否完全正常?
编辑:这里新开发温柔:)条纹卡信息最佳实践等
我正在创建通过条纹使用的付款处理页面,我希望能够让我的客户管理保存的卡片或使用新的卡片。我很担心客户信息太多,以及将太多卡信息暴露给我的服务器的可能性。
如果我检索像last 4,exp date等敏感信息,我应该在其上加入一些加密手段,还是显示或存储关于服务器端的信息片段是否完全正常?
编辑:这里新开发温柔:)条纹卡信息最佳实践等
唯一的PCI-敏感信息是完整的信用卡号码和CVC。
该卡的品牌,最后4位数字和有效期限不敏感。如果您使用Stripe,则可以检索此信息card object's属性,例如, exp_month
和exp_year
等
从PCI合规的角度来看,您不需要做任何特殊的处理这些数据,因为它不被认为是敏感的。我的建议是简单地根据需要从Stripe中查询信息,然后丢弃它,或者将它原样存储到数据库中(在最后一种情况下,您可能希望使用webhooks来确保您的数据库已同步与您的条纹帐户)。
感谢您的信息! –
那么它仍然是持卡人的数据并符合PCI标准,但是对于该级别的信息以及使用Stripe.js或Stripe Checkout所需的PCI合规性是PCI SAQ A合规性,其中Stripe意味着仅具有SSL证书。 –