Voy a implementar una configuración PHP/mySQL
para almacenar información de la tarjeta de crédito.¿Cómo puedo mantener segura una base de datos mySQL?
Parece que AES_ENCRYPT/AES_DECRYPT
es el camino a seguir,
pero todavía estoy confundido en un punto:
¿Cómo mantengo la clave de cifrado seguro?
El cableado en mis scripts PHP (que vivirán en el mismo servidor que el db) parece un gran agujero de seguridad.
¿Cuál es la solución de "mejores prácticas" aquí?
Bingo: no guarde los datos de la tarjeta de crédito si es posible. Procese y descarte, y permita que un servicio como PayPal se ocupe de las transacciones recurrentes. – ceejayoz
Para los casos en que ocurre una devolución de cargo (es decir, el propietario de CC alega que la transacción fue incorrecta), querrá conservar los últimos cuatro dígitos del número de CC. – BlaM
Quizás también los primeros 6 dígitos por razones estadísticas. Los primeros 6 identifican al banco emisor, por lo que puede ver si hay muchas transacciones fraudulentas desde un banco, por lo que puede comenzar a bloquear varias tarjetas de crédito en casos malos. – BlaM