Съхранявайте данните за картата във всяка постоянна среда (база данни, каквото и да е), но криптирайте номера на картата с уникален и произволен ключ, който съхранявате в сесията. По този начин, ако сесията е загубена, ключът също е – което ви дава достатъчно време да изчистите изтекли/изоставени данни.
Също така се уверете, че вашите сесии са защитени от отвличане. Има хардуерни решения за това, но един прост начин в кода е да свържете идентификатора на сесията с хеш на първия октет на IP плюс потребителския агент. Не е сигурно, но помага.
Редактиране :Ключовите моменти за минимизиране на риска е да се уверите, че сте се отървали от тази информация възможно най-скоро. Веднага след като транзакцията премине, изтрийте записа от базата данни. Също така се нуждаете от непрекъсната работа (да речем на всеки 5 минути), която изтрива всички записи, по-стари от времето за изчакване на вашата сесия (обикновено 20 минути). Също така, ако използвате база данни за това много временни данни, уверете се, че не са на автоматизирана система за архивиране.
Отново, това решение не е сигурно и дори не съм 100% сигурен, че е съвместимо с изискванията за сигурност на CC. Въпреки това, трябва да се изисква от нападателя да има пълен контрол по време на изпълнение на вашата среда, за да декриптира активно информацията за CC на клиента и ако моментна снимка на вашата база данни е компрометирана (много по-вероятно/често срещано), само една CC може да бъде принудена чрез груба сила в даден момент, което е най-доброто, на което можете да се надявате.
