Iphone 将信用卡信息保存在钥匙串中或使用密码学? [关闭]

【问题标题】:Iphone save Credit card info in keychain or use cryptography? [closed]Iphone 将信用卡信息保存在钥匙串中或使用密码学? [关闭]
【发布时间】:2013-02-10 10:19:48
【问题描述】:

我正在开发一个 Iphone 应用程序。 我需要在 Iphone 上存储用户的信用卡信息,并且我有一些关于安全性的问题。

1) 实施加密系统来加密信用卡号(或使用可用库之一)更好还是我可以只使用钥匙串来存储 CC 号码?钥匙串是否被认为是保存 CC 信息的好地方?

2) 我还应该加密(或保存在钥匙串中)到期日期吗?

3) 我应该保存安全代码(或 CCV)吗?还是要求用户每次都输入?

感谢您的澄清

【问题讨论】:

    标签: iphone security cryptography credit-card keychain


    【解决方案1】:

    我建议您阅读 PCI 的以下文档:

    使用智能手机或平板电脑接受移动支付

    https://www.pcisecuritystandards.org/documents/accepting_mobile_payments_with_a_smartphone_or_tablet.pdf

    我的建议是:

    • 除非绝对必要,否则不要存储抄送详细信息。
    • 切勿存放 CVV
    • 不要实现自己的加密机制,使用框架提供的加密机制。

    有任何问题,请告诉我。

    问候, 法比奥 @fcerullo

    【讨论】:

    • 这绝对是正确的答案。存储不遵循 PCI 规则的 CC 信息对您(因为它可能使您面临潜在的民事责任和/或来自 PCI 的罚款)和您的用户(因为您可能会搞砸实现自制安全性)都是坏消息设置)
    【解决方案2】:

    这些是您 Qestion 上的以下 cmets 对于 Q1 - 是的,最好使用加密类来为这种高度安全的数据使用一个好的算法。例如。 AES128 或 AES256 算法。

    对于第二季度 - 是的,您可以将加密数据保存在 Key Chain 中,这是一个安全数据的好地方。

    对于第三季度 - 我认为您应该要求用户每次输入 CVV 编号。就像每个移动 rehrge 网站一样。 paytm.com

    【讨论】:

    • 对于 Q2,我的意思是,我也应该加密到期日期吗?或者只是将其保存为纯文本(敏感数据是否足以被加密)?
    • 是的,你也应该加密最后日期......因为它是信用卡的敏感数据......
    • 只是补充一点,使用经过良好测试、广泛使用的密码库。
    • 自制一个 CC 存储方案,即使使用“好算法”也是个坏消息。绝对不要在钥匙串上存储信用卡#。 “使用 PCI 验证的解决方案”是您应该考虑的唯一答案。
    • @PeterElliott Elliott software-security.sans.org/blog/2011/01/05/…
    猜你喜欢
    • 2019-08-11
    • 1970-01-01
    • 1970-01-01
    • 2017-07-29
    • 2020-11-24
    • 1970-01-01
    • 2017-11-05
    • 2011-05-17
    • 2010-10-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode