Если моя база данных MysQL украдена, например, может ли вор использовать идентификаторы клиентов Stripe для их зарядки?Опасно ли хранить в моей базе данных идентификаторы клиентов?
Должен ли я хранить эти идентификаторы в своей базе данных или нет? Хранить их, но шифровать их?
Спасибо.
Идентификатор клиента (cus_XXXX) может использоваться для оплаты карты клиента, но только с помощью секретного ключа API вашей учетной записи (sk_live_XXX).
Кто-то, попав в вашу базу данных в этой ситуации, не сможет ничего сделать с информацией, если они также не украдут ваши ключи API.
Безопасно хранить все, что Stripe возвращает через API в вашей собственной базе данных, так как они не будут возвращать эти значения в первую очередь в противном случае. Это также частично описано в документации here о соответствии PCI.
Что вы надеетесь получить, сохранив такую информацию? – chepner
Это не вопрос программирования; он * может * быть более по теме на security.stackexchange.com. – chepner
@chepner Просто для того, чтобы восстановить платеж на панели инструментов в случае проблем. –