Хранение ключей API Braintree в базе данных приложений SAAS

Question

Мы создаем веб-приложение SAAS с несколькими арендаторами. Наши арендаторы хотят иметь возможность принимать платежи по кредитным картам за различные продукты, которые мы разрешаем им продавать через наше приложение. Чтобы поддержать это, мы потребуем, чтобы у арендатора была своя собственная учетная запись Braintree. Арендатор предоставляет нам наши ключи API Braintree через наше приложение. Затем мы используем эти ключи API для взаимодействия с их учетной записью Braintree от их имени (хранение карт, проверка карты и основные транзакции).

Эта модель такая же, как модель, используемая существующими клиентами Braintree WooThemes, Goodsie, TutorTrove и многие другие.

Нам необходимо записать информацию об API арендатора (идентификатор продавца, общедоступный ключ API и закрытый ключ API), чтобы все это работало.

Мои вопросы:

1. Можем ли мы просто хранить эту информацию в нашей базе данных приложения?
2. Сохраняет ли эта информация информацию о масштабах PCI/DSS от нас или наших арендаторов?
3. Если мы не можем хранить информацию в необработанном виде, то какая соответствующая форма хранения?

Примечание: мы связались с Braintree напрямую с этим же вопросом, но мы не думали, что было бы больно получать и другие мнения :).

Cheers, Сэм

Answer 1

Так Брэйнтри ответил на этот вопрос с:

До тех пор, как ваша система PCI совместимый, и ваши торговцы знают , что их ключи API являются сохраненный на вашем сервере, тогда вы должны быть штрафными . Как вы храните ключи API интеграции, полностью зависит от вас, и [у нас] на самом деле нет никаких рекомендаций.

Таким образом, это не похоже, в этом случае влияет на PCI/DSS объем нашей продукции, и, кажется, мы свободны выбрать подходящий способ для хранения закрытых ключей API, которые мы получаем (предложение Saravanan является один возможный вариант).

Answer 2

IMHO, Пожалуйста, обратите внимание, что вы будете [если нет, то должно быть], имеющие ключи крипт арендатора на основе [каждый арендатор может настроить свой собственный crytographic алгоритм и ключи => SAAS Cusomization], Пожалуйста, зашифруйте AuthorizationId, используя специальные ключи арендатора, а затем сохраняйтесь в базе данных. Эти конфиденциальные данные должны быть защищены, и вы должны иметь примечание о том, что вы поддерживаете эти ключи в базе данных, чтобы арендатор мог отказаться, если не требовался, и вручную вводить ключ при необходимости. Это обеспечит безопасность. Кстати, ваше приложение использует SSL.

Пожалуйста, поделитесь своими мыслями по этому предложению