我的iOS应用程序中有静态键。通过使用该密钥,我正在加密信用卡/借记卡并将其发送到服务器以备将来使用。我使用相同的密钥解密卡。
现在我不能通过任何密钥生成算法使用动态密钥,因为我想稍后解密我的卡。所以,每次我都需要相同的密钥。
所以,我的问题是我应该如何存储我的密钥或我应该在哪里存储我的密钥,因为它是最安全的?或者我可以通过每次生成动态密钥来管理这些东西吗?如果是,那又如何呢?
许多iOS应用程序,如亚马逊,优步等,都将卡信息存储在他们的服务器中!他们是如何管理这些东西的?
任何帮助将不胜感激!谢谢!
如果您需要问这个问题,那么您已经违反了PCI合规性。 您的客户信用卡信息绝不应接触您的服务器,无论是加密的还是其他的。 大多数支付网关都会为您处理此问题。 你没有理由自己做这件事。
如果你确实需要自己处理这个问题,而且在极少数情况下,简单地对称加密应用中的卡片信息并不是这样做的方法。 从字面上看,任何可以下载您的应用程序的人都可以解密其他客户的信用卡信息。
正确的方法是将卡信息传输到受 TLS 保护的服务器,然后将密钥信息加密并存储在 HSM 服务器端。 如果您无法管理这一点,那么您不符合PCI标准,将承担法律责任。
如果您的企业在欧盟运营或为客户提供服务,那么您可能会因处理消费者信用卡信息不当而遭受巨额罚款。