Многие хранят свои данные в виде фотографий или скриншотов. Я и сам так делаю периодически, ведь это удобно, но этот способ накладывает много проблем. Например, нужно сфотографировать документ в хорошем качестве, чтобы все буквы были видны. Затем, когда он будет нужен, придётся искать его среди других фотографий или на почте. К тому же, фотографии в Android и iPhone нельзя защитить от просмотра, поэтому, этот способ не очень безопасный. Приложение Вкармане помогает решить эту проблему. Вы просто вводите свои данные и он хранит именно их, причём, в виде вашего документа, а не просто текстом. В общем, это нужно просто увидеть.
При первом включении программа попросит вас создать пароль. Именно он будет защищать ваши данные от других людей, кто сможет взять смартфон в руки. Кстати, помимо этого все ваши документы будут шифроваться алгоритмом AES-256. Получить несанкционированный доступ к данным будет очень трудно. Так что, беспокоиться о том, что кто-то достанет данные вашего паспорта и возьмёт на него кредит или украдёт деньги с кредитки не стоит. Проще украсть у вас реальный документ или кошелек, чем взломать этот алгоритм шифрования.
Advanced Encryption Standard (AES), также известный как Rijndael — симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES. Этот алгоритм хорошо проанализирован и сейчас широко используется, как это было с его предшественником DES. Национальный институт стандартов и технологий США (англ. National Institute of Standards and Technology, NIST) опубликовал спецификацию AES 26 ноября 2001 года после пятилетнего периода, в ходе которого были созданы и оценены 15 кандидатур. 26 мая 2002 года AES был объявлен стандартом шифрования. По состоянию на 2009 год AES является одним из самых распространённых алгоритмов симметричного шифрования. Поддержка AES (и только его) введена фирмой Intel в семейство процессоров x86 начиная с Intel Core i7-980X Extreme Edition, а затем на процессорах Sandy Bridge.
Суть такая: в приложении AliExpress есть возможность добавить данные банковской карточки и дальше с него автоматически производить оплату.
Каким образом реализуется сам алгоритм?
Каким образом мы можем сохранить данные карты в приложении, или это не в приложении сохраняется, а отправляется на сервер?
Если отправляется на сервер, то наверное, с шифрованием? То есть сам алгоритм работы при вот таком действии, с кодом сам уже попробую реализовать.
Приложении AliExpress взял, как пример, так как с этим в нём и сталкивался
Хранить данные банковских карт в приложении Вы не имеете права по закону. Хранить эти данные на сервере Вы можете если имеете сертификат PCI DSS (для начала ссылка в википедии), получить который очень не просто и стоит это не малых денег. Единственный, простой, вариант — это использовать платежный системы к примеру Яндекс.Касса и тому подобные (ссылка на рейтинг). Большинство этих систем поддерживает рекуррентные платежи, т.е. данные карты хранит сама система и дальнейшие платежи (к примеру по подписке), делает автоматически по вашему запросу, без дополнительных действий со стороны пользователя.
Не знаю кейса с отправкой инфы о карте на сервер — это как-то совсем не секьюрно и получается какой-то сбор карт.
Все строго шифровать!
Тут либо карту шифровать по пину/паролю — очень хорошая статья по этой теме.
Либо использовать SQLCipher — читать тут.
И будьте предельно внимательны и ответственны при разработке хранения этих важных данных.
Хранить такие данные на телефоне небезопасно. Если все таки есть желание хранить, то можно использовать 3D шифрование(TripleDES)
Лучше всего передавать данные на сервер по HTTPS и при этом еще и шифровать алгоритмом 4-х рукопожатий. Асимметричные алгоритмы (RSA, El-Gamal)
Я бы действовал так:
За хранение карточек без прохождение PCI DSS с вами совершат действия сексуального-насильственного характера.
Пока я видел 2 метода — оба хранят данные в компании эквайринге. (aliexpress использует эквайринг alipay):
Это называется подписки, рекурентные платежи или регулярные платежи. Можете пройти по платежным система и посмотреть как у них реализовано.
Без всяких проблем вы можете хранить и обрабатывать только маску PAN.
Если вы хотите хранить полные данные карт (без cvc, cvv — это хранить никто не разрешит, даже с сертификатом) вам нужно иметь сертификат PCI DSS.
Хранить данные вы можете так же только в определенных местах — есть специализированные под это дело хостинги, но они стоят не малых денег. В России таких хостеров нет.
Прохождение сертификации огромный (простите) геморой. Во-первых это так же стоит денег (100+ т.р.), во-вторых ваше приложение будет подвергнуто атакам и проверенно на все возможные уязвимости, вы должны логировать все действия пользователей и куча всего прочего. Плюс ко всему, если вы заваливаете прохождение сертификации, то повторное прохождение так же платно.