AWS Lambda 条带支付后端,PCI 问题?

AWS Lambda stripe payment backend, PCI concerns?

我希望构建一个移动应用程序,将信用卡信息发送到 aws-lambda 微服务,然后将该信息提交给 stripe。我担心 PCI compliance/security,我想知道是否遗漏了什么。以下是我的计划:

1) 用户使用符合 PCI 标准的密码登录 - 并被分配唯一 ID 并获得认知访问密钥。

2) 用户在移动应用中输入支付信息。然后,该应用程序使用 HTTPS 通过 POST 请求将该信用卡数据发送到经过 cognito 身份验证的 aws-lambda 实例(api 网关用于创建端点)。

3) 在成功 post 请求后,应用会删除本地信用卡数据。

4) lambda 实例使用 KMS 解密加密的条带秘密访问密钥。

5) lambda 实例使用Stripe NodeJS sdk 将数据发送到stripe 并将stripe token 存储在数据库中。

6) Lambda 实例在任何时候都不会保存任何信用卡数据——它只会将 Stripe 令牌写入数据库。

这里有什么我遗漏的吗?有什么需要注意的吗?

编辑:

附加信息: 信用卡详细信息在应用程序中收集并存储在应用程序状态中,直到它们被删除。 https POST 不使用 Stripe 工具,因为我使用的是 React Native。

根据我们在评论中的讨论,您可以使用 JavaScript API 编写服务包装器 POST 将数据直接发送到 Stripe。您只需要在您的应用中嵌入 public API 密钥。

请参阅此博客中的解决方案 post:http://blog.bigbinary.com/2015/11/03/using-stripe-api-in-react-native-with-fetch.html