Мы создаем многопользовательское веб-приложение SAAS. Нашим арендаторам нужна возможность принимать платежи по кредитным картам за различные продукты, которые мы разрешаем им продавать через наше приложение. Для этого нам потребуется, чтобы у арендатора была собственная учетная запись Braintree. Арендатор предоставляет нам свои ключи API Braintree через наше приложение. Затем мы используем эти ключи API для взаимодействия с их учетной записью Braintree от их имени (хранение карты, проверка карты и основные транзакции).
Эта модель аналогична модели, используемой существующими клиентами Braintree WooThemes, Goodsie, TutorTrove и многие другие.
Нам нужно записать информацию об API арендатора (идентификатор продавца, открытый ключ API и закрытый ключ API), чтобы все это работало.
Мои вопросы:
- Можем ли мы просто сохранить эту информацию в базе данных нашего приложения?
- Влияет ли хранение этой информации на область применения PCI/DSS для нас или наших арендаторов?
- Если мы не можем хранить информацию в необработанном виде, что является подходящей формой хранения?
Примечание: мы связались с Braintree напрямую с тем же вопросом, но мы не подумали, что будет лишним узнать и другие мнения :).
Привет, Сэм