Necesitamos guardar el número de tarjeta de crédito en nuestra base de datos, pero no el CVV. Si cumpliéramos PCI - DSS para esto o algunas medidas de seguridad es suficiente. Después de guardar, lo utilizaremos para llamar a Stripe para el pago.
Entonces, ¿debemos seguir adelante con el cumplimiento de PCI - DSS?
Sí: si almacena, procesa o transmite datos del titular de la tarjeta, debe cumplir con las normas PCI DSS.
Realmente cuestionaría su decisión de almacenar el PAN (número de tarjeta de crédito) de 16 dígitos en la base de datos. Stripe tiene algunas excelentes opciones que pueden permitirle no hacer esto. A los delincuentes les encantan las bases de datos que contienen información del titular de la tarjeta.
Lea otras preguntas en las etiquetas credit-card pci-dss payment-gateway