我希望构建一个移动应用程序,将信用卡信息发送到aws-lambda微服务,然后将该信息提交给条带 . 我担心PCI合规性/安全性,我想知道是否有我遗漏的东西 . 以下是我的计划:
1)用户使用PCI兼容密码登录 - 并分配唯一ID并获取Cognito访问密钥 .
2)用户在移动应用程序中输入付款信息 . 然后,应用程序使用HTTPS通过POST请求将该信用卡数据发送到经认证的认证aws-lambda实例(api网关用于创建 endpoints ) .
3)成功发布请求后,应用程序将删除本地信用卡数据 .
4)lambda实例使用KMS解密加密的条带秘密访问密钥 .
5)lambda实例使用Stripe NodeJS sdk将数据发送到条带并在数据库中存储条带令牌 .
6)Lambda实例在任何时候都不会保存任何信用卡数据 - 它只会将Stripe令牌写入数据库 .
这里有什么我想念的吗?有什么我应该关注的吗?
编辑:
附加信息:信用卡详细信息在应用程序内收集并存储在应用程序状态,直到被删除 . https POST不使用Stripe工具,因为我使用的是React Native .
1 回答
继我们在评论中讨论之后,您可以编写一个服务包装器,使用他们的JavaScript API将数据直接POST到Stripe . 您只需在应用中嵌入公共API密钥即可 .
请参阅此博客文章中的解决方案:http://blog.bigbinary.com/2015/11/03/using-stripe-api-in-react-native-with-fetch.html