所有交换均使用 SSL
无论您使用什么解决方案,只要涉及信用卡/付款信息,都应该这样做。你可能知道。
对本地存储的多个 cookie 中的数据进行加密
密码作为每次都必须输入的确认密码。
强制密码更强,比如说 15+ 混合字符,这是
通过检查服务器上的哈希值来确认。
我通常会记住我的信用卡号,而且我宁愿把它放进去(因为我已经打算不向任何人透露它),而不是大多数客户无论如何都会写在某处的又长又复杂的密钥。
即使我们不被允许说“不要这样做!” - 为什么你不向我们询问有什么好的方法来劝阻你的经理做出这个决定呢? ;-)
是什么让你不愿意把这个服务器端存储起来呢?这不像亚马逊将我的信用卡信息存储在 cookie 中。基本思想是存储所有用户信息在服务器上,并在用户成功验证(即登录)后访问它。
在这种情况下,Cookie 用于保存登录- 浏览器会话之间的状态。信息这个登录- 会话有权访问存储在服务器上的内容。对于信用卡信息来说,这通常需要比其他敏感信息更高的安全性,但基本思想是相同的。
当一些精通技术的客户意识到您在做什么时,在 cookie 中存储实际的信用卡号码(加密或未加密)可能会成为潜在的公关噩梦。
更多阅读主题:哪些信息可以存储在 cookie 中? https://stackoverflow.com/questions/706858/what-information-is-ok-to-store-in-cookies
Edit:我越读这个问题就越感到困惑。您的经理知道 cookie 是什么吗?怎么运行的?它有什么意义呢?说你想在 cookie 中存储信用卡信息就像说你想用鞋子作为运输鞋带的工具一样。他无缘无故地主动、有目的地搬起石头砸自己的脚。他想要实现的目标可以通过其他更安全的技术更容易地实现——而不会损失任何功能。
From an article http://www.west-wind.com/presentations/aspnetecommerce/aspnetecommerce.asp斯科特·汉塞尔曼链接:
存储信用卡
如果您绝对必须存储信用卡数据,则应以加密形式存储。
有各种合规标准(特别是 CSIP 和 PCI)供应商应该遵循,它们描述了如何保护网络和存储数据的具体规则。这些规则相当复杂并且需要非常昂贵的认证。然而,这些标准非常严格且验证成本高昂,因此小型企业几乎不可能遵守。虽然较小的供应商不太可能被迫遵守,如果发生欺诈或安全漏洞,不遵守规定基本上可以免除信用卡公司的任何责任。换句话说,您对损害的全部程度负全部责任(实际上,无论如何,你都是这样的——我只是回应这些认证的粗略概念)。
(我的重点)
