我是 PCI 新手,想使用 Stripe 作为我的支付网关。他们不收取月费,并且有一个很好的 php 系统将资金从站点发送到 Stripe。现在我知道我可以让客户输入他们的卡信息,使用 Stripe 的框架,让卡信息消失。没关系,但我的问题是:
如果我想将卡片信息存储在数据库中以便在 Stripe 的 PHP 框架中使用,我该如何学习合法地这样做?
【问题讨论】:
如果您使用他们的 Stripe Javascript 客户端向他们发送信用卡信息,那么您将存储在数据库中的将是代表客户及其信用卡的令牌,而不是实际的信用卡。如果您随后确保通过 HTTPS 提供您收集信用卡信息的页面,则您应该符合 PCI 标准。
【讨论】:
你为什么要这样做呢?
任何支付网关的美妙之处在于,您不必费心或担心存储客户的敏感数据,而是将 API 与您的数据层集成,并像直接从您的数据库中一样使用它。
Stripe 为您提供所需的一切,他们的 API 有很好的文档记录,因此没有任何理由不按照我刚才描述的方式使用它。
【讨论】:
If I want to store card information in a database for using in Stripe's PHP framework, how do I learn to do it legally? 我的回答是永远不要存储它,因为有更好的选择,我还指出了他应该做的正确方向。
保持 PCI 兼容的最简单方法是永远不要将任何卡信息存储在任何数据库中。 Stripe 可以通过使用客户并将卡附加到这些客户来为您存储卡信息。然后,您可以轻松访问这些客户并从他们的卡中扣款。您在数据库中只需要 customerId 即可避免陷入任何 PCI 问题。
【讨论】: