Si la información utilizada para recuperar una tarjeta de la Paypal Vault , es decir, "credit_card_id" se almacena en una entrada de la base de datos en nuestro servidor, si un pirata informático puede obtener acceso al servidor, ¿realmente importa si la información de la tarjeta está almacenada en nuestro servidor, o en la Bóveda de Paypal? La información se puede recuperar, o al menos, utilizar con intenciones maliciosas.
Pregunta hipotética, por supuesto.
Creo que la Bóveda de PayPal solo almacena el token de la tarjeta. Entonces, si un atacante tomara ese token y otra información confidencial de su servidor, lo peor que podría hacer es cargar la cuenta de la persona a su cuenta de PayPal, aprobar los reembolsos, etc. los detalles reales permanecerán privados ya que no se transportarán desde la bóveda.
La forma en que veo que funciona es así:
Cliente --- número de tarjeta --- > Su servidor --- número de tarjeta --- > Bóveda de PayPal
Una vez en el almacén, PayPal genera un ID para la tarjeta y se lo envía a usted:
PayPal --- ID de tarjeta --- > Su servidor --- ID de tarjeta --- > Base de datos
Más tarde, cuando quieras usarlo de nuevo:
Base de datos --- ID de tarjeta --- > Su servidor --- ID de tarjeta --- > Bóveda de PayPal
PayPal luego hace coincidir la ID con el número de tarjeta almacenado en la bóveda y carga la tarjeta.
Lea otras preguntas en las etiquetas payment-gateway