我可以在轨道上使用braintree时在本地存储什么?
-
12-10-2019 - |
题
如果我依靠Braintree进行付款处理,我允许哪些信用卡信息存储在PCI中?
我要问的原因是,作为一种简单的优化,如果客户已经用信用卡从我的商店购买了东西,我可以向他们展示他们的信用卡的最后4位数字,而无需制作卡API致电Braintree。如果他们想更换卡或购买卡,我必须打电话,但是对于那个页面,我不会。
问题是,我允许存储:
- 信用卡的最后4位数字
- 和卡类型
- 并可能是持卡人的名称
或者我可以检查一下PCI合规性“ Do and Nonts”的列表?
解决方案
是的,存储这些东西很好。
查看 PCI快速参考指南 简要概述您应该和不应该做什么。
其他提示
正如已经说过的那样,可以存储该数据。
关于“ DOS和NOTS”,检查开放的Web应用程序安全项目(Owasp.org)是值得的。特别是查看他们的OWASP指南(在此处可用 http://prdownloads.sourceforge.net/owasp/owaspguide2.0.1.1.pdf?download)如何开发安全的Web应用程序。它们涵盖了从第53页开始的PCI合规性和最佳实践。
我会使用attr_encrypted Gem之类的东西来保护数据库中的数据(请参阅 https://github.com/shuber/attr_encrypted).
不隶属于 StackOverflow