问题描述
我在理解这个概念时遇到了问题。我正在使用支付网关,并且我没有将信用卡详细信息存储在任何地方。我通过使用托管付款字段获取付款信息。我想在用户的个人资料中添加一个位置,以便他们可以查看自己的卡类型和到期日期。
我不会存储这些数据,因此我能够获取信用卡详细信息的唯一方法是调用支付网关。据我所知,从客户端向服务器发送信用卡详细信息通常违反 PCI 合规性标准。在那种情况下,我真的不明白调用支付网关 api 从客户端获取卡数据的概念。我如何将卡数据存档,然后允许用户在交易空间以外的位置查看它?
解决方法
PCI DSS 3.2.1 在第 7 页上说到信用卡数据:
主帐号是持卡人数据的决定性因素。 如果存储了持卡人姓名、服务代码和/或到期日期, 使用 PAN 处理或传输,或以其他方式存在于 持卡人数据环境 (CDE),它们必须在 符合适用的 PCI DSS 要求。
人们普遍认为,到期日期本身是可以接受的,并且不会影响您使用 SAQ-A 来证明 PCI 合规性的资格 - 证明 PCI 合规性的最简单和最有利的方式。
我想大多数支付网关都允许您在对数据进行标记后访问卡的到期日期 - 我怀疑您已经这样做了。 Stripe seems to return this data with their tokens:
go.mod具体细节会因您的支付网关而异。