マルチテナント SAAS Web アプリケーションを構築しています。テナントは、アプリケーションを通じて販売できるさまざまな製品のクレジットカード支払いを受け入れるオプションを望んでいます。これをサポートするには、テナントが独自の Braintree アカウントを持っている必要があります。テナントはアプリを通じて Braintree API キーを提供してくれます。次に、それらの API キーを使用して、Braintree アカウントとやり取りします (カードの保管、カードの確認、および基本的な取引)。
このモデルは、Braintree の既存の顧客である WooThemes、Goodsie、TutorTroveなどで使用されているモデルと同じです。
これをすべて機能させるには、テナントの API 情報 (マーチャント ID、パブリック API キー、およびプライベート API キー) を記録する必要があります。
私の質問は次のとおりです。
- この情報を単純にアプリケーション データベースに保存できますか?
- この情報を保存すると、当社またはテナントの PCI/DSS 範囲に影響しますか?
- 情報を生の形式で保存できない場合、適切な保存形式は何ですか?
注: この同じ質問について Braintree に直接問い合わせましたが、他の意見を聞くことは害になるとは思いませんでした :)。
乾杯、サム