¿Cómo almacena Paypal los números de las tarjetas de crédito?
¿Han publicado alguna información de esto?
Por ahora, diría que cifran los números de las tarjetas y almacenan la clave en un HSM, pero esto es solo una estimación personal.
Lo más probable es que sea confidencial, así que apuesto a que no obtendrás una respuesta del 100% a esta. Sin embargo, sabemos que PayPal es compatible con PCI-DSS.
Esto significa que cumplen con 3.4 en la norma, que dice: "Render PAN ilegible en cualquier lugar que se almacena". Eso significa que, con una probabilidad de al menos el 99%, que almacenen los números de tarjeta de crédito encriptados. Es posible con los controles de compensación almacenarlos sin cifrar, pero es muy difícil obtener un control de compensación de 3.4 aprobado por un QSA.
Respecto a HSM, debemos adivinar de nuevo. Definitivamente es posible cumplir con PCI-DSS sin usar un HSM, es mucho más difícil. Para una empresa con un presupuesto pequeño, es posible que deseen evitar el costo de comprar un HSM. Para una empresa como PayPal, es una obviedad, por lo que estoy 99% seguro de que están usando un HSM para administrar sus claves criptográficas.
Lea otras preguntas en las etiquetas credit-card encryption hsm