iOSからクレジットカード番号をREST APIに送信する際のベストプラクティス

Question

私のアプリはAPIとコミュニケートしなければなりません。これを簡単に送信してデータを取得できます。

ここでは、すべてをURLのパラメータとしてプレーンテキストとして送信します。

私は決してセキュリティ専門家ではありませんが、一般的な意味では、転送中にクレジットカード番号を暗号化する必要があります。

サーバはストレージについて心配することがあります。私の唯一の懸念はデータの実際の送信です。

実際のデータを取得するためには、サーバが逆にする必要があるため、私は私の秘密鍵暗号化アルゴリズムが必要であると考えています。

すでにCommonCryptoフレームワークに実装されているいいものはありますか？

あなたのお勧めは何ですか？

私はiOSを使用してこれを行うことを検討していますが、セキュリティフレームワークにはこの問題を解決するツールがあると確信しています。

ありがとうございました！

Answer 1

クレジットカード情報にURLパラメータを絶対に使用しないでください。ネットワーク上の他のクライアントがアクセスするURLは、ネットワーク上の他のコンピュータによって容易に盗聴され、記録されます（もちろん、一定の制限があります）。

POSTパラメータを使用して情報を送信して、URL自体ではなくメッセージの本文に含めるようにしてください。その後、HTTPSページに送信している間は、まずデータを暗号化せずにデータを安全にする必要があります（この場合、メッセージ自体はSSLを使用して暗号化されています）。