作为开发该怎样保存客户的信用卡信息或者其他敏感信息？

使用用户密码进行 aes 加密，支付时需输入密码解密。

如果使用三方服务的话如 stripe 和 paypal 会返回 card_token 的

同支持 stripe 或者 paypal，能省很多事。
非要自己存的话，代码里肯定不能出现明文。
如果私有部署，可以用 docker 部署，然后 base64 后的密钥用 docker secret 作为环境变量管理。
在公有云上部署，可以使用托管的密钥服务，更安全。
私有部署也可以使用公有云的密钥托管服务，限定访问服务的 ip （一般公司专线的 ip 都比较固定），这样即使公有云访问密钥泄露，非法持有者在非法 ip 下也无法访问密钥。

自己内部挂个加密机的服务, 所有的加解密都在加密机内 用户密码或者二级密码做部分秘钥, 通过传业务代码(配置加密 key)+用户自定义的二级密码 进行数据解密或者加密 加密机只允许内网访问 并且只开放 api 端口, 加密机黑盒 代码或者被脱裤也解不开,除非业务代码+加密机+数据库同时泄露

压根就不要存这些信息

@dzdh 第一版我就是这么干。然后老板说不行。

@AS4694lAS4808 我也推荐过 stripe 。但是老板说 费率高，然后找了很传统的企业。。本来可以不保存的。但是老板说保存会体验好。


@ccming 本来是不保存的。但是老板说对手也有，我们也要搞。

1. 随便保存下来，泄漏了再想办法。
2. 按照 PCI 标准实现： https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security
3. 在 1 和 2 之间，选择一部分 PCI 标准实现。

标准里面的内容都是行业里面的专家积累了多年经验写下来可能出现的问题，比自己想强多了

不能保存 传统公司也会给你发卡片 token 他们会存 和你没关系

那方便问一下你们现在的费率嘛

@dzdh stripe 因为没执行。所以账号按照默认费率。PP 听财务好像是 2.9% ？

@dzdh 另外对接的一家老牌信用卡交易中心，听说费率比 PP 更低。有多低我就不知道了。

@Felldeadbird

stripe 是 2.9% + 固定 0.3
paypal 是 https://www.paypal.com/us/webapps/mpp/merchant-fees#fixed-fees-commercialtrans

可以找银行卡检测中心做 pcidss 认证
他们到时候会给出合规整改建议的