我希望构建一个移动应用程序,将信用卡信息发送到 aws-lambda 微服务,然后将该信息提交给 Stripe。我担心 PCI 合规性/安全性,我想知道我是否缺少某些东西。以下是我的计划:
1) 用户使用符合 PCI 的密码登录 - 并被分配唯一的 ID 并获得 cognito 访问密钥。
2) 用户在移动应用程序中输入支付信息。然后,该应用程序使用 HTTPS 通过 POST 请求将该信用卡数据发送到经过 cognito 身份验证的 aws-lambda 实例(api 网关用于创建端点)。
3) 成功发布请求后,应用程序会删除本地信用卡数据。
4) lambda 实例使用 KMS 解密加密的条带秘密访问密钥。
5) lambda 实例使用 Stripe NodeJS sdk 将数据发送到条带并将条带标记存储在数据库中。
6) Lambda 实例绝不会保存任何信用卡数据——它只会将 Stripe 令牌写入数据库。
我在这里有什么遗漏吗?有什么我应该担心的吗?
编辑:
附加信息:信用卡详细信息在应用程序内收集并存储在应用程序状态,直到它们被删除。https POST 不使用 Stripe 工具,因为我使用的是 React Native。