ruby-on-rails - tutorial - ruby on rails usos
¿Qué puedo almacenar localmente mientras sigo siendo compatible con PCI usando Braintree en Rails? (3)
¿Qué información de tarjeta de crédito se me permite almacenar mientras aún soy compatible con PCI si confío en braintree para el procesamiento de pagos?
La razón por la que pregunto es porque, como una simple optimización, si un cliente ya compró algo en mi tienda con una tarjeta de crédito, puedo mostrarles los últimos 4 dígitos de su tarjeta de crédito y el tipo de tarjeta, sin tener que hacer una llamada API a BrainTree. Tendría que hacer la llamada si quisieran cambiar la tarjeta o hacer una compra, pero para esa única página, no lo haría.
La pregunta es, ¿se me permite almacenar:
- Los últimos 4 dígitos de la tarjeta de crédito.
- y el tipo de tarjeta
- y posiblemente el nombre del titular de la tarjeta
¿O dónde puedo consultar una lista de "lo que se debe y no se debe hacer con el cumplimiento de PCI"?
Como ya se ha dicho, está bien almacenar esos datos.
Con respecto a "hacer y no hacer", valdría la pena ver el Proyecto de seguridad de aplicaciones web abiertas (owasp.org). En particular, consulte su guía OWASP (disponible aquí http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download ) sobre cómo desarrollar aplicaciones web seguras. Cubren el cumplimiento de PCI y las mejores prácticas a partir de la página 53.
Sí, está bien almacenar esas cosas.
Consulte la Guía de referencia rápida de PCI para obtener una breve descripción de lo que debe y no debe hacer.
Yo usaría algo como attr_encrypted gem para proteger esos datos en la base de datos (consulte https://github.com/shuber/attr_encrypted ).