Posso memorizzare in modo sicuro i dati della carta di credito in un'app?

5

Sto utilizzando un gateway di pagamento nella mia app.
Sto pensando di memorizzare i numeri delle carte di credito senza i numeri CVC nella mia app.

La memorizzazione del numero CC elimina la necessità di reinserire il numero CC. Tuttavia, l'utente deve comunque inserire il numero CVC.
Il numero CC stesso sarà crittografato con AES e una chiave definita dall'utente.

Domande:

  1. È sicuro archiviare i dati della carta di credito in un'App in questo modo?
  2. Quanto è sicura questa implementazione in Android rispetto ad altri sistemi operativi?
posta user3313050 09.05.2016 - 13:35
fonte

2 risposte

3
  1. È sicuro quanto il luogo in cui viene archiviata la chiave di crittografia CC.
  2. Android presenta un keystore , che gestisce la generazione, l'archiviazione e l'utilizzo delle chiavi. La tua app parla tramite l'API KeyChain . Offre alcuni vantaggi:
    • Ogni app può accedere solo alle proprie chiavi. Il keystore applica questo per te.
    • Il materiale chiave è protetto in caso di compromissione del processo di app.
    • Esegue tutte le crypto per te.
    • Se il dispositivo presenta qualche componente hardware sicuro, il materiale chiave può essere memorizzato lì, in modo che sia difficile estrarlo dal dispositivo.

Il riferimento al keystore Android è solo informativo. L'utilizzo di questo non ti rende necessariamente né sicuro né conforme allo standard PCI-DSS. Altri hanno pubblicato riferimenti per questo.

    
risposta data 09.05.2016 - 16:38
fonte
2

Qui puoi leggere gli standard PCI:

link

Prima di tutto, trova i regolamenti che l'app deve seguire, quindi controlla le specifiche relative alla crittografia / implementazione relative all'archiviazione dei dati CC. Forniscono molti più dettagli di quelli che abbiamo raccolto qui.

    
risposta data 09.05.2016 - 18:16
fonte

Leggi altre domande sui tag