在 Rails 中使用 Braintree，我可以在本地存储哪些内容，同时仍符合 PCI 标准？

Question

如果我依靠 Braintree 进行支付处理，我可以存储哪些信用卡信息，同时仍符合 PCI 合规性？

我问这个问题的原因是，作为一个简单的优化，如果客户已经使用信用卡从我的商店购买了商品，我可以向他们显示信用卡的最后 4 位数字以及卡类型，而无需进行对 BrainTree 的 API 调用。如果他们想换卡或购物，我就必须打电话，但对于那一页，我不会。

问题是，我是否可以存储：

• 信用卡的最后 4 位数字
• 、卡类型
• 以及持卡人姓名

，或者哪里有我可以查看的 PCI 合规性“注意事项”列表？

Answer 1

是的，存放这些东西很好。

查看PCI 快速参考指南，简要概述您应该做什么和不应该做什么做。

Answer 2

正如已经说过的，可以存储该数据。

关于“注意事项”，值得查看开放 Web 应用程序安全项目 (owasp.org)。特别是，请查看他们的 OWASP 指南（可在此处 http://prdownloads.sourceforge 获取。 net/owasp/OWASPGuide2.0.1.pdf?download）了解如何开发安全的 Web 应用程序。它们从第 53 页开始涵盖 PCI 合规性和最佳实践。

Answer 3

我会使用诸如 attr_encrypted gem 之类的东西来保护数据库中的数据（请参阅 https://github.com/shuber/attr_encrypted ）。