私はPHP/mySQL
セットアップを実装してクレジットカード情報を保存します。mySQLデータベースを安全に保つにはどうすればよいですか?
それはAES_ENCRYPT/AES_DECRYPT
が進むべき道であるように思える、
が、私は一点にまだ混乱している:
がどのように安全な暗号化キーを保持していますか?
私のPHPスクリプト(これはdbと同じサーバーにあります)にハードワイヤード接続することは、大きなセキュリティホールのようです。
「ベストプラクティス」ソリューションとは何ですか?
ビンゴ - 可能な限り、クレジットカードのデータを保存しません。処理して破棄し、PayPalなどのサービスで定期的な取引を処理させる。 – ceejayoz
チャージバックが発生した場合(CCオーナーがトランザクションが間違っていると主張した場合)、CC番号の最後の4桁を保持することをお勧めします。 – BlaM
統計上の理由から、最初の6桁であることもあります。最初の6つは発行銀行を特定するので、1つの銀行からの不正な取引が多いかどうかを確認できるので、悪いケースで複数のクレジットカードをブロックすることができます。 – BlaM