Python 空气污染指数

我正在开发一个API，我想知道是否有用户再次输入他们的信用卡信息，通过API付款。比如：

requests.POST(url, data = {
    api_key: 'asdf',
    api_secret: 'asdf'
    cc_number: '1234123412341234',
    cc_cvc: '1234',
    cc_exp: '2014-10-01'
}

---

如果我不保存信用卡信息，在API调用中允许这样做可以吗？实际付款将由Braintree或Stripe处理，但我确实需要验证用户身份并将更新保存到我的数据库中。

有很多反对意见。你会想坚持这一点，特别是

支付卡行业数据安全标准（PCI DSS）是一套要求，旨在确保所有处理、存储或传输信用卡信息的公司保持一个安全的环境。基本上是任何具有商户ID（MID）的商户

只有在以下情况下，才建议使用网上的信用卡号码进行任何操作：

• 你对传输的线路进行加密
• 您可以在使用的任何数据存储中加密实际的信用卡信息
• 您将信用卡信息与其他信息隔离
• 你不允许“凡人”直接访问信用卡信息（也就是说，你不允许开发者直接访问信用卡信息）
• 确保您的第三方API符合PCI（非常重要）

---

玩信用卡就像玩铀。你可以从中获益匪浅，但一次泄漏和一团乱麻需要数年时间才能清理干净。如果泄漏足够大，你的职业生涯就会变得有放射性。

至少你需要使用SSL

然而，有一个叫做的小东西涵盖了这类事情，除此之外还有很多

不过，基本上，在PCI兼容系统（Braintree、Stripe和大多数其他支付网关都是这样）之外收集持卡人数据会给您自己或您的商户带来繁重的PCI兼容义务，您应该尽可能避免

---

您可以考虑使用您建议的支付网关提供的令牌化服务，如果这可以融入您的支付工作流程。

当某人的CC详细信息与您正在运行的软件非常接近时，您就是在自找麻烦。@remus-OP说他们不想存储持卡人数据-至少是OP已经知道这一点。@mhawke是正确的，但即使是以这种形式存在，也会导致数据被劫持和被页面感染窃取。如果不这样做，即使是被感染的页面也无法如此轻松地隐藏信用卡详细信息。使用您在问题中提到的服务（我在Braintree工作），您直接从表单将CC信息发送给处理者，他们会返回一个令牌，您可以保存并使用该令牌，而无需处理信用卡信息。您不会将CC信息发送到您自己的网站。示例如下。