Я хотел бы использовать API paypal для выполнения платежа со стороны сервера. , глядя на их API https://developer.paypal.com/docs/rest/api/payments/#payment.create Я позвонил, чтобы отправить номер кредитной карты. Однако это не соответствует PCI, Как я могу защитить PAN, когда передаю его на paypal?Использование API Paypal со стороны сервера, как я могу защитить PAN? или я просто передаю его в ясном тексте?
Если вы хотите обработать прямые открытки на своем веб-сайте, вам необходимо будет соответствовать требованиям PCI. Посмотрите на это link.
В отношении PCI DSS 3.1, требование 4 подробно описывает сильную криптографию и протоколы. Кроме того, в рамках требований 4.1,
Чувствительная информация должна быть зашифрована во время передачи по сетям общего пользования, потому что это легко и просто злонамеренным индивидуума перехватывать и/или переадресовать данные во время транзита.
Таким образом, поскольку все SSL и реализация TLS 1.0, не считаются безопасными, я хотел бы предложить шифрование данных с помощью TLS 1.2, когда он переходит в Интенет путем доступа к интерфейсу REST через HTTPS и обеспечение TLS 1.2 используется.
Как вы думаете, PCI DSS относится к TLS 1.2 как достаточно безопасному, или нам нужно будет зашифровать фактический контент в дополнение к протоколу? – Adva
Шифрование на транспортном уровне должно быть достаточно. Вы отправляете данные на другое (надеюсь) PCI-совместимое решение, которое должно иметь элементы управления, касающиеся того, когда данные должны быть зашифрованы на их стороне. Кроме того, быстрый взгляд на API не показывает способ отправки ключей в API безопасным образом, что необходимо для того, чтобы Paypal расшифровывал данные. – FordPre
Я нахожусь в процессе получения сертификата PCI. все еще хотелось бы понять, как безопасно передавать PAN – Adva