¿Es seguro que almacena información de tarjeta creadit en android?
En mi enfoque, a primera hora el usuario quiere pagar con tarjeta de crédito, debe volver a ingresar su contraseña de inicio de sesión e información de tarjeta de crédito completo.
Después de que el éxito pagado, genero una llave al azar, la embalo como almacén de la llave, finalmente almaceno el archivo del almacén de llaves en el almacenaje interno, este archivo del almacén de la llave es bloqueado por la contraseña de la conexión del usuario. Por otra parte, la información de la tarjeta de crédito será cifrada por esta llave y dar vuelta en una secuencia codificada Base64, finalmente escribir en un archivo en el almacenaje interno.
- Procesamiento de pagos de Android a través de PayPal / tarjeta de crédito
- ¿Hay alguna pasarela de pago centrada en la India?
- facturación en la aplicación para países no compatibles
- Android: Cómo leer la banda magnética (tarjetas de crédito, etc) Datos
- Card.io no escanea tarjetas de crédito de dígitos no aumentados
En la próxima vez que pague con tarjeta de crédito, el usuario también debe volver a ingresar su contraseña de inicio de sesión, por lo que puedo usarla para desbloquear el archivo keystore y extraer clave. En este punto, tengo la capacidad de descifrar la información de la tarjeta de crédito del usuario.
Arriba es mi enfoque para obtener información de tarjeta de crédito almacenada en el dispositivo, ¿es seguro?
- Cómo implementar 3D Secure (Verified by Visa / MasterCard SecureCode) en la aplicación móvil nativa (por ejemplo, IOS)
- IDTech Unimag Card Swiper en Android
- ¿Los desarrolladores de Android pagan sin tarjeta de crédito?
- Leer los detalles de la tarjeta de crédito de Visa PayWave vía NFC en Android
¡NO guarde los datos de la tarjeta de crédito del usuario en un dispositivo! Simplemente no hay manera de hacerlo seguro. Los teléfonos enraizados pueden ser una forma aún más fácil para que las aplicaciones accedan a datos confidenciales. Un dispositivo puede perderse o ser robado. Tendrá que implementar un inicio de sesión de usuario seguro en su servidor y almacenar los datos de CC allí.
Trate de usar http://developer.authorize.net/downloads/
Parece que mi enfoque en mi puesto es finalmente mi respuesta.
Porque andriod proporciona el límite de acceso en el almacenaje interno ( vea este acoplamiento ), incluso el dispositivo consigue perdido o robado, hacker todavía no puede tener acceso al keystore y romperlo por el método de la fuerza bruta.
Pero hay otro problema.
En un teléfono enraizado, "mal programa" es posible escuchar teclado suave, hay algún otro trabajo de estudio que debo hacer.
Nunca debe almacenar un número de tarjeta de crédito en un dispositivo de usuario.
PCI requiere un cambio de clave trimestral para sus elementos cifrados – así que ¿cómo lograría eso? Forzar al usuario a cambiar su contraseña cada 3 meses? ¿Qué pasa si nunca se conectan para cambiarlo?
Su método es extremadamente vulnerable a que un atacante se convierta en un "cliente" para intentar romper su sistema – él podrá hacerlo directamente en su propio dispositivo sin que su atacado sea detectado o resistido. Luego puede usar lo que aprenda para atacar las cuentas de otros clientes. Por favor, háganos saber en qué sitio web está trabajando – Quiero estar lejos, muy lejos de él cuando haya terminado si sigue este método de diseño.