Что я могу сохранить локально, все еще будучи совместимым с PCI, используя Braintree в Rails?

Какую информацию о кредитной карте я могу сохранить, сохраняя при этом совместимость с PCI, если я полагаюсь на braintree для обработки платежей?

Причина, по которой я спрашиваю, заключается в том, что, как простая оптимизация, если клиент уже купил что-то из своего магазина с помощью кредитной карты, я могу показать им последние 4 цифры своей кредитной карты и тип карты без чтобы сделать вызов API в BrainTree. Я должен был бы позвонить, если они захотят сменить карточку или совершить покупку, но для этой одной страницы я бы не стал.

Вопрос: я могу хранить:

последние 4 цифры кредитной карты
и тип карты
и возможно имя владельца карты

Или где есть список соответствия PCI "do and don'ts", я могу проверить?

Ответ 1

Да, хорошо хранить эти вещи.

Ознакомьтесь с Краткое руководство по PCI для краткого обзора того, что вам следует и чего не следует делать.

Ответ 2

Как уже было сказано, нормально хранить эти данные.

Что касается "dos и don'ts", было бы полезно проверить проект Open Web Application Security (owasp.org). В частности, посмотрите руководство OWASP (см. http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?download) о том, как разрабатывать защищенные веб-приложения. Они охватывают соответствие PCI и лучшие рекомендации, начиная со страницы 53.

Ответ 3

Я бы использовал что-то вроде attr_encrypted gem для защиты этих данных в базе данных (см. https://github.com/shuber/attr_encrypted).