【问题标题】:Credit card numbers in html5 localStoragehtml5 localStorage 中的信用卡号
【发布时间】:2011-11-08 20:32:55
【问题描述】:

如果我将加密的信用卡信息存储在浏览器的本地存储中会怎样?当用户再次访问该站点时,信用卡字段由 Javascript 预填充。表单本身直接指向支付处理器,因此信用卡信息永远不会传输到我的服务器。

当然,我的网站和支付处理器的网站是通过 https 访问的。

这是否符合 PCI 标准?这是一种不好的做事方式吗?

【问题讨论】:

  • 我认为这样做是一件坏事,如果你不通知用户你正在这样做(并且可能让他们选择退出)。我会让其他人争论它是否符合 PCI 标准。
  • 请注意,Google 说这是个坏主意。请参阅developers.google.com/web-toolkit/doc/latest/…中的 LocalStorage is Not Secure Storage 部分

标签: html credit-card


【解决方案1】:

我不确定是否属于 pci-dss 规定。将客户数据存储在可能被黑客入侵的文件中是一个大问题。

【讨论】:

  • 我假设您的意思是可破解并且在服务器上?客户端机器上的任何东西都是 可能可被破解的,尽管我怀疑你可能是对的,它们不包括存储在客户端机器上的数据。
【解决方案2】:

由于卡号本质上将存储在客户端的机器上,因此(根据我对 pci-dss 的解释)即使数据已加密,您也无法限制或监控对该数据的访问。听起来我不合规。

【讨论】:

  • 这听起来更像是与迈克的回答相矛盾。
  • Mike 说它超出了 PCI 法规的范围,而您说它不合规。这几乎是相反的。超出范围意味着它不会影响合规性。
  • 谢谢!迈克的第一句话显然没有记在我的脑海里——我已经编辑了我的答案以适应
【解决方案3】:

不确定 PCI 合规性,但您也可以将信用卡信息存储在 a HTTPS-only cookie 中。

【讨论】:

    猜你喜欢
    • 2018-03-24
    • 2014-08-14
    • 1970-01-01
    • 1970-01-01
    • 2012-09-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多