すべての交換にSSLを使用
クレジットカード/支払い情報が関係している限り、使用するソリューションに関係なく実行する必要があります. あなたがおそらく知っているように。
毎回入力する必要がある確認パスワードとして暗号を使用して、ローカルに保存されている多数の Cookie でデータを暗号化します。暗号を強力にする、たとえば15文字以上の混合文字を強制します。これは、サーバーで暗号のハッシュをチェックすることで確認されます。
私は通常、自分のクレジット カード番号を覚えています。ほとんどの顧客がとにかくどこかに書き留める長くて複雑なキーよりも、むしろそれを入力したいと考えています (私はすでに誰にも開示したくないので)。
「やるな!」とは言えなくても。- あなたの上司がこの決定を下すのを思いとどまらせる良い方法を私たちに尋ねてみませんか? ;-)
これをサーバー側に保存したくない理由は何ですか? Amazon が私のクレジット カード情報を Cookie に保存するわけではありません。基本的な考え方は、すべてのユーザー情報をサーバーに保存し、ユーザーが正常に認証された (つまり、ログインした) ときにアクセスすることです。
この場合、ブラウザ セッション間でログイン状態を保持するために Cookie が使用されます。このログインセッションがアクセスできる情報は、サーバーに保存されます。クレジット カード情報を使用すると、通常、他の機密情報よりも多くのセキュリティが必要になりますが、基本的な考え方は同じです。
実際のクレジット カード番号を Cookie (暗号化されているかどうかにかかわらず) に保存することは、テクノロジーに精通した一部の顧客があなたがしていることに気付いた場合に、潜在的な PR の悪夢になる可能性があります。
詳しく読むためのスレッド: Cookie に保存してもよい情報は何ですか?
編集:この質問を読めば読むほど、私は唖然とします。あなたのマネージャーはクッキーが何であるかさえ知っていますか? 使い方?それのポイントは何ですか?クレジット カード情報を Cookie に保存したいと言うのは、靴ひもを運ぶ手段として靴を使いたいと言うようなものです。彼は、何の理由もなく積極的かつ意図的に自分の足を撃っています。彼が達成したいことは、機能をまったく失うことなく、他のより安全な手法を使用してはるかに簡単に達成できることです。
Scott Hanselman によってリンクされた記事から:
クレジットカードの保管
どうしてもクレジット カード データを保存する必要がある場合は、暗号化して保存する必要があります。
ベンダーが従うことになっているさまざまなコンプライアンス標準(具体的には CSIP および PCI) があり、ネットワークを保護し、データを保存する方法に関する特定の規則が記述されています。これらのルールはかなり複雑で、非常に高価な認証が必要です。ただし、これらの基準は非常に厳格で、認証を受けるには費用がかかるため、小規模な企業が準拠することはほぼ不可能です。小規模なベンダーが遵守を迫られる可能性は低いですが、遵守しない場合、詐欺やセキュリティ違反が発生した場合にクレジットカード会社は基本的に責任を免除されます。言い換えれば、損害の全範囲に対して完全に責任を負うのはあなたです (現実的には、とにかくあなたです。私はこれらの認定の大まかな概念を繰り返しているだけです)。
(私の強調)