条纹卡信息最佳实践等

Stripe Card info best practices etc


我正在创建一个通过 stripe 使用的支付处理页面,我希望能够让我的客户管理保存的卡或使用新卡。我担心过于坦率地提供一些客户信息,以及可能会向我的服务器泄露过多的银行卡信息。

如果我检索敏感信息,如最后 4 天、过期日期等,我应该对其进行某种加密方式,还是完全可以在我这端为关系服务器端显示或存储该信息的片段?

编辑:这里的新开发人员要温柔 :)

唯一的 PCI 敏感信息是整个卡号和 CVC。

卡的品牌、后 4 位数字和有效期不敏感。如果您使用 Stripe,您可以通过 card object's 属性检索此信息,例如exp_monthexp_year,等等

从 PCI 合规性的角度来看,您无需执行任何特殊操作来处理此数据,因为它不被视为敏感数据。我的建议是根据需要简单地从 Stripe 查询信息,然后丢弃它,或者将其按原样存储到您的数据库中(在后一种情况下,您可能需要使用 webhooks 来确保您的数据库已与您的 Stripe 帐户同步)。