我有ASP.NET WebAPI和Android客户端的后端。基本上,当用户付款时,我需要将信用卡信息发送到我的WebAPI,并在此处付款到我的网关。但是我担心的是,在某些情况下,这些信息以某种方式或某种程度上可能会被截获。为了在SQL上保存这些信息,我已经有一个加密代码来执行此操作。我在想,我是否应该实施一个代码以从Android到API的数据中丧生,并解密进行付款,然后使用我当前的密码来存储数据库?我应该使用rijndael吗?谢谢!
使用HTTPS时,您应该固定证书,这意味着验证您直接连接到的网站是正确的网站。
这可以验证HTTPS连接提供的证书是正确的站点,这避免了MITM攻击。
Android客户端验证了连接直接与您的网关的连接,并且您的网关直接连接到付款网站。
您不需要添加安全/加密。
正如亨利所说:咨询PCI DSS文件。请参阅PCI合规指南。