我可以在轨道上使用braintree时在本地存储什么？

Question

如果我依靠Braintree进行付款处理，我允许哪些信用卡信息存储在PCI中？

我要问的原因是，作为一种简单的优化，如果客户已经用信用卡从我的商店购买了东西，我可以向他们展示他们的信用卡的最后4位数字，而无需制作卡API致电Braintree。如果他们想更换卡或购买卡，我必须打电话，但是对于那个页面，我不会。

问题是，我允许存储：

• 信用卡的最后4位数字
• 和卡类型
• 并可能是持卡人的名称

或者我可以检查一下PCI合规性“ Do and Nonts”的列表？

Answer 1

是的，存储这些东西很好。

查看 PCI快速参考指南 简要概述您应该和不应该做什么。

Answer 2

正如已经说过的那样，可以存储该数据。

关于“ DOS和NOTS”，检查开放的Web应用程序安全项目（Owasp.org）是值得的。特别是查看他们的OWASP指南（在此处可用 http://prdownloads.sourceforge.net/owasp/owaspguide2.0.1.1.pdf?download）如何开发安全的Web应用程序。它们涵盖了从第53页开始的PCI合规性和最佳实践。

Answer 3

我会使用attr_encrypted Gem之类的东西来保护数据库中的数据（请参阅 https://github.com/shuber/attr_encrypted).