Sto sviluppando un'applicazione cross platform in grado di gestire i pagamenti, il servizio di pagamento online ha emesso un certificato per il mio utilizzo, quindi ho un certificato .pem e al suo interno ci sono 2 certificati effettivi e la mia chiave privata.
Il problema è che non riesco a trovare il modo di usarlo in sicurezza, visto che deve andare nelle richieste al servizio web del servizio di pagamento online, quindi devo includerlo nel mio pacchetto di app mobile, ma se qualcuno apre il pacchetto, avrà immediatamente accesso alla chiave privata.
Come posso gestire questa situazione? Dovrei semplicemente includerlo e dimenticarlo poiché in ogni caso un utente malintenzionato dovrà avere numeri di carta di credito validi o dovrei creare un servizio web intermedio che può aggiungere il certificato?