如果我依靠 Braintree 进行支付处理,我可以存储哪些信用卡信息同时仍符合 PCI 标准?
我问的原因是,作为一个简单的优化,如果客户已经用信用卡从我的商店购买了东西,我可以向他们显示他们信用卡的最后 4 位数字和卡类型,而无需对 BrainTree 的 API 调用。如果他们想换卡或购买,我必须打电话,但对于那一页,我不会。
问题是,我可以存储:
- 信用卡的最后 4 位数字
- 和卡类型
- 和可能的持卡人姓名
或者哪里有我可以查看的 PCI 合规性“注意事项”列表?
问问题
6121 次
3 回答
23
是的,存放这些东西很好。
查看PCI 快速参考指南,简要了解您应该做什么和不应该做什么。
于 2010-12-21T09:12:26.467 回答
4
正如已经说过的,存储该数据是可以的。
关于“注意事项”,值得查看 Open Web Application Security Project (owasp.org)。特别是,查看他们的 OWASP 指南(可在此处获得http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download),了解如何开发安全的 Web 应用程序。它们涵盖了从第 53 页开始的 PCI 合规性和最佳实践。
于 2010-12-21T17:36:58.920 回答
0
我会使用 attr_encrypted gem 之类的东西来保护数据库中的数据(请参阅https://github.com/shuber/attr_encrypted)。
于 2010-12-21T20:36:41.023 回答