我希望你没事,我不是开发人员,我想从这里大量的专业知识中汲取经验。我有一个奇怪的问题,我不能接受我得到的答案,因为它从安全角度来看并不加起来。
情况是,我们的API正在将带有参考号的令牌传递给符合支付卡行业数据安全标准的卡支付提供商,我们不希望承担这一责任,因此我们与他们签订了合同。 客户在承包商网站上输入所有详细信息(姓名、卡号等(。他们有一个安全的报告门户,我们可以报告日常交易、退款等,因此我们不需要除了参考号之外的任何数据来将其与我们发送的令牌相结合。今天早些时候发现,他们的API不仅返回了带有我们需要的唯一参考的令牌,还返回了名称,卡的最后4位数字,地址和其他可识别信息,我们不需要或想要看到这些信息。
承包商的回复是,我引用"只需忽略通过API返回的数据,您不需要"。我多次问他们这些数据会发生什么,他们没有直接回答,他们只是说其他组织以这种方式使用它没有问题......正如你所期望的那样,这绝对驱使我巴祖尔克。
我发现了这个 5 年前的答案,它说消失在以太中。我不能接受数据消失,在这里插入GDPR问题。
未使用的函数返回值会发生什么情况?
为咆哮道歉
TLDR:我们通过API向卡支付提供商发送了包含无法识别个人信息的令牌,卡提供商API返回姓名,卡,地址和其他可识别数据。卡提供商响应只是忽略从不需要的 API 返回的信息。
提前感谢您的所有帮助。
因此,由于您使用网站联系此API,我将尝试分解正在发生的事情。
您在网站上输入一个数字,该数字反过来又成为对支付处理器的 API 调用的关键参考。 处理器接收参考编号,并从其数据库中获取与该编号有关的信息。 然后,他们将此数据作为对您的 API 调用的响应发送,并将数据返回到网站。 现在我只是在这里推测,但我猜你的网站除了显示它之外,没有对这些数据做任何事情。 如果是这种情况,数据位于运行网站的服务器上的易失性内存中。 易失性存储器(RAM(是寿命不长的存储器,一旦需要空间,它将被覆盖,或者如果系统关闭,它将立即被擦除。即使此数据位于易失性内存中,也仅在您在网站上的会话上下文中使用。 一旦你离开页面,就没有真正的方法(无论如何都很容易(来取回这些数据。 它可能仍然存在于RAM中,但任何人都无法访问它,一旦服务器意识到它不再被使用,它将被销毁或覆盖。
但是,您的网站有可能将您返回的API响应保存在您自己的数据库中。 听起来情况并非如此,但我不能确定。 但是要最终回答这个问题,您可以忽略这些数据,并且它不是很脆弱或被外界访问,因此您不必担心在这种情况下它会落入坏人之手。 我希望这对你有所帮助! 如果我能进一步为您澄清任何事情,请告诉我!
如果没有人使用数据,或者查看它,或者存储它 - 如果它只是被忽略 - 那么,是的,它消失了。
更具体地说,在接收它的计算机中,它可能被写入易失性存储器中的某个空间,然后在下次响应时重复使用并覆盖该空间。至少在概念上是这样。
接收应用程序可能具有某种日志,这些日志正在写出接收到的数据,无论应用程序是否使用它,但除此之外,如果不知道应用程序正在做什么,就无法进一步猜测。