PHP 使用 PCI 标准存储卡数据还是使用第三方存储卡数据？

Question

所以我今天面临一个具有挑战性的问题。我目前正在开发我正在开发的应用程序的支付界面。我必须让应用程序未来的用户可以选择存储和编辑他们的支付卡详细信息，以便于结帐。我所在行业的每家企业都这样做。因此，必须让我的用户能够添加和编辑卡片详细信息。

我正在考虑将用户卡详细信息存储到我们使用 PCI 标准租用的 AWS RDS 数据库中。我计划在需要时使用 PHP 和 mcrypt 以及椒盐来加密和解密卡数据。

你们认为在这种情况下将支付数据存储到我们的数据库是一个合适的选择吗？还是他们的任何第三方提供商将为我们存储用户付款详细信息？

请务必注意，我们将使用我们自己的商家帐户进行某些交易，而对于其他交易，我们将使用各种供应商商家帐户通过他们的 API 处理我们的交易。

谢谢

Answer 1

我会推荐以下蓝图：

https://aws.amazon.com/blogs/security/how-to-enhance-the-security-of-sensitive-customer-data-by-using-amazon-cloudfront-field-level-encryption/

云端 -> API 网关 -> Lambda -> RDS

Lambda 函数是唯一有权访问 RSA 私钥来解密由 Cloudfront 加密的字段值的地方。然后转身用AWS Encryption SDK重新加密持卡人信息，最后存入RDS。该 lambda 只允许使用 KMS 密钥进行加密。创建一个单独的 lambda 函数，负责从 RDS 中读取数据，用 KMS 解密并传输给第三方。

解决方案的细节有很多问题，但如果您遵循此蓝图，至少您不会让您的 PHP 应用程序受到威胁并暴露大量信用卡。最终，您希望限制处理持卡人信息的位置数量，以减少您的 PCI 审计风险。我什至会说为持卡人数据设置单独的 VPC 和 RDS。将“令牌”返回到您的应用程序以供参考。