API安全-发送CC信息

Question

我试图设计一个支付应用程序接口，它需要通过线路发送抄送信息。因此，我正在考虑使用公钥来加密CC信息，并在服务器上解密它。请记住，连接也是https。对这个话题有什么建议吗？

Answer 1

如果连接是https，那么第二次加密不会有任何好处，除非有人破坏了SSL/TLS。在这种情况下，相信我，你的API将是世界上最小的问题。

Answer 2

如果是HTTPS连接，则不需要加密CC详情。

Answer 3

与前面的答案相比，我强烈建议您阅读PCI-DSS上的内容。基本上，您希望将卡号保持加密，直到绝对需要明文形式的卡号，例如授权或结算时。目前还不清楚api调用到底会做什么，但可以肯定的是，您几乎肯定不希望卡号在访问您的will服务时立即以纯文本形式出现。

此外，如果您有一个客户端组件来捕获卡的详细信息，那么它将属于PA-DSS的审查范围。