C# 用于存储在SQL DB中的信用卡加密

我的任务是处理一些信用卡数据存储。 阅读PCI合规性调查问卷后（包括NIST 800-57） 我在谷歌上找到了一些既（有点）新又合规的资源

以下是我发现的一些资源：

我的问题： 加密和解密信息的基本编码逻辑似乎可以归结为Yossi在这里的工作方式：

我说得对吗？还有其他“符合标准”的方法吗？有人可以推荐其他资源吗

非常感谢

更新 我不需要传输信用卡号-我需要接收并加密它们以存储在数据库中。 如果这个数据被传输，它总是通过HTTPS完成的（所以我在这方面很好，对吗？）

---

是的，当我第一次发布时，我错过了这个重要的信息——但非常感谢您的快速回复。认证信用卡机构之外的人试图保存这些信息，无论是加密还是未加密（我假设它不是单向加密的），这听起来很可怕

---

你的商业案例真的需要这些吗？你的公司真的想冒险储存信用卡号码吗？

我看到很多关于“你不应该储存信用卡”的答案。请记住，许多每月订阅业务都需要这样做。您必须开发自己的软件来完成此任务，或者使用第三方软件来完成此任务

---

另一个例子是有客户群的零售店，客户在那里设置每月自动取款。这在每月发生成本的不同类型的业务中很常见。例如，为孩子们上舞蹈课。

；哇，首先谢谢你的快速回复。我刚刚开始学习这个主题-但是RSA加密似乎需要公钥/私钥senarios，这不是我的要求的一部分-这就是我为什么选择AES算法的原因。我不明白吗P@user606724：根据数据长度，您可以仅使用RSA（如果数据非常小）或RSA+AES。单独使用AES需要以某种方式将密钥传输到另一方进行解密，因为相同的密钥用于加密和解密。HTTPS的一个简化视图是浏览器使用其证书验证服务器，使用公钥RSA生成AES加密密钥，并将其提交给服务器，服务器使用其私有RSA密钥对其进行解密。一旦密钥被传输，会话中的实际数据将使用AES加密，因为AES没有长度限制。我的问题是-我不会传输这些数据（或者不应该以任何方式传输）-再次感谢您的快速回复伙计们+1：存储信用卡号最重要的一点是不要。将责任交给专门从事it的提供商。有各种各样的要求，比如物理安全性，这些要求远远超出了你编写的代码。当你存储信用卡数据时，你会激励黑客入侵你的系统。另外，你是保护这些数据的业余爱好者。如果你让USAEpay或Authorize.net或其他人为你处理这件事，你可能仍然要负责，但你从他们的专业知识中获益。耶，这太可怕了。这就是我向你们寻求建议的原因。我唯一关注的是安全性的代码方面——硬件和它的安全性肯定也必须达到行业标准。不幸的是，我们的业务确实要求我们存储这些号码——但我不知道你提到的服务——我们将明确调查这些号码。非常感谢你们的建议，伙计们。如果我没有更多的输入，我会在明天将此标记为已回答：P再次感谢。如果您存储信用卡数据，请确保您了解您的法律要求。