【问题标题】:Stripe Card info best practices etcStripe Card 信息最佳实践等
【发布时间】:2016-11-28 21:51:59
【问题描述】:


我正在创建一个通过条带使用的支付处理页面,我希望能够让我的客户管理保存的卡或使用新的卡。我担心对某些客户信息过于坦率,以及可能将过多的卡信息暴露给我的服务器。

如果我检索到最后 4、exp 日期等敏感信息,我应该对其进行一些加密,还是完全可以在我的关系服务器端显示或存储这些信息片段?

编辑:这里的新开发者要温柔:)

【问题讨论】:

    标签: stripe-payments stripe.net


    【解决方案1】:

    唯一对 PCI 敏感的信息是整个卡号和 CVC。

    卡的品牌、最后 4 位数字和有效期不敏感。如果您使用 Stripe,您可以通过 card object's 属性检索此信息,例如exp_monthexp_year

    从 PCI 合规性的角度来看,您无需执行任何特殊操作来处理此数据,因为它不被视为敏感数据。我的建议是根据需要简单地从 Stripe 查询信息,然后将其丢弃,或者将其按原样存储到您的数据库中(在最后一种情况下,您可能希望使用 webhooks 来确保您的数据库已与您的 Stripe 帐户同步)。

    【讨论】:

    • 感谢您的信息!
    • 它仍然是持卡人数据并受 PCI 合规性约束,但该级别信息所需的 PCI 合规性以及使用 Stripe.js 或 Stripe Checkout 是 PCI SAQ A 合规性,这对于 Stripe 意味着只需SSL 证书。
    猜你喜欢
    • 1970-01-01
    • 2020-05-11
    • 2010-12-15
    • 1970-01-01
    • 2015-04-28
    • 2021-08-05
    • 2012-11-11
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多