我正在开发一个需要存储整个信用卡号的应用程序。这可以使用任何API吗?
我已阅读Authorize.net的客户付款资料选项,但当您尝试检索该付款资料时,它只提供最后 4 位数字。
我还检查了Braintree的v.zero API,它给出了前 6 位和最后 4 位数字以及Stripe的客户创建选项,但它也只给出了最后 4 位数字。
如果没有可用的 API,存储信用卡号的唯一方法是使用 PCI DSS 将其存储在内部?
问问题
11867 次
2 回答
15
披露:我为 Stripe 工作
是的,在内部存储客户卡信息的唯一方法是在符合 PCI 的系统中进行。您存储它们的任何地方,以及您处理它们的任何方式,都必须符合 PCI 标准。
使用支付处理器(例如 Stripe)的最大好处之一是,它们会为您处理(非常、难以置信、可怕)的 PCI 合规性艰苦工作。作为该承诺的一部分,他们不会公布他们孜孜不倦地工作以确保安全的信用卡详细信息。
如果您愿意经历成为 - 并保持 - PCI 兼容的严格要求,您可以以 PCI 兼容的方式收集和存储卡号,并使用 Stripe 的 API 创建卡 [0],然后进行收费。请注意,您必须符合 PCI 才能以这种方式使用 Stripe 的 API,否则您将违反服务条款。
如果您可以更全面地解释应用程序将使用存储的信用卡号做什么,也许有人可以建议一种不需要在本地实际存储卡信息的替代方法。
于 2016-06-02T02:38:35.270 回答
6
在任何情况下都不要存储客户的信用卡信息。解释为什么你认为你需要它;Stripe API 可能可以做你想做的事。例如,如果您想向之前向您付款的客户收取定期费用,请使用客户订阅。
在任何情况下都不要存储客户的信用卡信息。如果 Stripe 发现您试图这样做,他们可能会禁止您。这很好,因为如果 Stripe 没有抓到你,犯罪分子就会抓到。犯罪分子喜欢从塔吉特和沃尔玛提取信用卡信息的那种。
于 2016-06-02T01:11:22.430 回答