¿Puedo almacenar con seguridad los datos de la tarjeta de crédito en una aplicación?

Navega tus respuestas
5

Estoy usando una pasarela de pago en mi aplicación.
Estoy pensando en almacenar números de tarjetas de crédito sin los números CVC en mi aplicación.

El almacenamiento del número CC elimina el requisito de volver a ingresar el número CC. Sin embargo, el usuario todavía debe ingresar el número de CVC.
El propio número de CC se cifrará con AES y una clave definida por el usuario.

Preguntas:

  1. ¿Es seguro almacenar datos de tarjetas de crédito en una aplicación de esta manera?
  2. ¿Qué tan segura es esta implementación en Android frente a otros sistemas operativos?
pregunta user3313050 09.05.2016 - 13:35
fuente

2 respuestas

3
  1. Es tan seguro como el lugar donde almacena la clave de cifrado de CC.
  2. Android presenta un keystore , que maneja la generación de claves, el almacenamiento y el uso para usted. Su aplicación le habla a través de la API KeyChain . Ofrece algunas ventajas:
    • Cada aplicación solo puede acceder a sus propias claves. El almacén de claves hace cumplir esto por ti.
    • El material clave está protegido en caso de compromiso con el proceso de la aplicación.
    • Realiza todo el cifrado por ti.
    • Si el dispositivo cuenta con algún componente de hardware seguro, el material clave se puede almacenar allí, por lo que es difícil extraerlo del dispositivo.

La referencia al almacén de claves de Android es solo informativa. Su uso no necesariamente lo hará seguro ni compatible con PCI-DSS. Otros han publicado referencias para eso.

    
respondido por el Ander Juaristi 09.05.2016 - 16:38
fuente
2

Puedes leer los estándares de PCI aquí:

enlace

En primer lugar, encuentre las regulaciones que debe seguir su aplicación, luego revise las recomendaciones específicas de criptografía / implementación relacionadas con el almacenamiento de datos CC. Proporcionan muchos más detalles de los que podemos reunir aquí.

    
respondido por el Rápli András 09.05.2016 - 18:16
fuente

Lea otras preguntas en las etiquetas

¿El navegador Tor filtra una lista de sitios web visitados a los servicios DNS de TLD? Bruteforce parte de la contraseña en TrueCrypt