Как хранить номера банковских карт на сервере?

Question

[p02p]

Предложите, пожалуйста, решения. Понимаю, что особой опасности не представляет, но хочется с умом подойти к этому.
При этом, необходимо будет эти данные пересылать, и не обязательно владельцу карты.

Answer 1

[⚡ Kotobotov ⚡]

никак не хранить, предоставьте эквайринг банкам.
исходя из того что вы задаёте такой вопрос - эти данные у вас гарантированно украдут.

Comments

[p02p]

Да, я, действительно, крайне неопытен в этом вопросе, и не хочу наделать ошибок. Но речь идет только о номере карты. Ни срока истечения, ни cvv, ни в коем случае! А, насколько я знаю, с номером карты ничего плохого сделать нельзя. Или я неправ?

[⚡ Kotobotov ⚡]

p02p: не стоит недооценивать потенциальную угрозу, вместе с картой у вас будет значит храниться и имаил, а через имаил можно в лёгкую узнать ФИО (пускай не всех но уверен большинства), дата карты тоже не такая уж и большая задача, карты выпускаются на пару лет, год примерно плюс минус 1-2 года от текущего, и так далее и тому подобное, CVV2 - 3х значное число подобрать, я вас умоляю, тут вобще даже обсуждать нечего.
какую бы функцию шифрования не использовали, кто получит доступ к внутренней инфраструктуре, получит доступ ко всем картам, начиная от ваших разработчиков, заканчивая хостинг компанией, не говоря про всякие бэкапы в облаках, которые вобще в открытую по лицензионным соглашениям читаются и просматриваются.

Answer 2

[Армянское Радио]

Извольте следовать PCI DSS. Чемодан денег на сертификацию готов?

Comments

[p02p]

Только номер карты же

[Армянское Радио]

p02p: вы опасно некомпетентны, подумайте над этим.

[p02p]

Ни секунды не сомневаюсь, именно поэтому и задаю здесь глупые вопросы. Объясните, буду признателен.

[Армянское Радио]

p02p: Я вам уже дал ссылку на материал. Дальше вы можете просто вбить в гугл названия документов или походить по ссылкам из википедии. Здесь не школа. Здесь сервис быстрых, решительных и содержательных ответов на конкретные вопросы.

[p02p]

Спасибо, Вы очень помогли)

Answer 3

[index0h]

Храните хэш номера карты + в случае необходимости последние 4 цифры для целей пользовательской идентификации. Более вам ничего не нужно

Comments

[Армянское Радио]

и останутся посередине восемь цифр, да еще повязанных алгоритмом Луна, которые и калькулятор меньше чем за сутки переберет. Поздравляю. Вы опасно некомпетентны в криптографии.

[index0h]

Переберет то переберет, но только в случае, если известен хэш + соль + часть результата.

В случае хранения только последних - это исправит ситуацию?