将信用卡信息存储到数据库的最佳实践

Question

在我的国家，在线支付并不是什么新鲜事，我第一次看到网络应用程序直接将付款存入本地银行账户是在去年。

所以，我是一个编码网络支付系统的新手。

我的问题是，将信用卡信息存储到数据库中的最佳实践是什么......

我有很多想法：加密信用卡、数据库安全限制等。

你做了什么？

Answer 1

不要这样做

这涉及的风险太大，您通常需要接受外部审核，以确保您遵守所有相关的当地法律和安全实践。

有许多第三方公司可以为您做这件事，他们已经经历了所有麻烦来确保他们的系统安全、遵守当地法律等等。我过去在美国使用过的一个例子是 authorize.net。一些银行还拥有可以连接的系统来存储信用卡数据和处理付款。

我知道你所在的国家可能没有像美国那样严格的法律，但在我看来，这并不是你制定自己的法律的借口。当你处理别人的钱时，风险太大了，无法保证。

Answer 2

2020 年，请使用 Stripe，并避免自己存储付款信息。

历史答案：

为此，我建议采用全面、分层的方法。

首先，存储信用卡信息应该是一种选择。

其次，应使用强大的加密形式安全地存储数据。我推荐使用 256 位密钥大小的 AES。确保在选择密钥时使用整个密钥空间（仅使用随机生成的字母数字符号字符串作为密钥是一个菜鸟错误）。

第三，需要妥善保护 AES 密钥。不要将该值嵌入到代码中。如果您使用的是 Windows，请考虑使用 DPAPI。

第四，您需要设置数据库权限，以便应用程序和计算机可以根据需要进行访问。

第五，保护数据库的连接字符串。

第六，确保任何有权访问信用卡数据的应用程序都能正确保护其安全。

Answer 3

至少遵循 PA DSS（支付应用程序数据安全标准）。更多信息可以在这里找到：

https://www.pcisecuritystandards.org/security_standards/pa_dss.shtml< /a>

此外，明智的做法是查看 PCI DSS，可以在此处找到：

https:/ /www.pcisecuritystandards.org/security_standards/pci_dss.shtml

Answer 4

加密加密加密。如果不是绝对必要，请不要解密 - 不要解密以显示最后 4 位数字。不要解密来告诉用户他们的卡是什么。

事实上，如果可以的话，甚至不要将加密的卡号与其他用户信息保存在同一物理服务器中。

Answer 5

您应该避免存储任何信用卡信息，因为这样做会给您和客户带来风险。

Answer 6

Authorize.net 有一个 客户信息管理器 API，允许您将客户信息存储在他们的系统中。费用为 20 美元/月。作为您帐户的附加组件。

Answer 7

我建议您使用强大的算法（类似 AES）和长密钥来加密卡号。

然后，将您的密钥保存在安全的地方，例如外部硬盘或光盘。
当您需要密钥时，请使用外部硬盘。

如果您使用共享主机，则必须将密钥存储在外部设备中。

严格您的数据库

1. 为您的数据库定义严格的用户
2. 如果不需要，请删除数据库的根用户。