Veritabanında hash ile veri tutmak hakkında!

Merhabalar.

Bir ödeme sisteminde, kredi kartı bilgilerini veri tabanında tutmamam gerektiği için, kredi kartı numarasının Hash'lenmiş halini tutmak istiyorum.

Sebep ise, bazı kredi kartı sahiplerine alışveriş engeli koymam gerekiyor.

Bunu acaba şu şekilde yapabilir miyim:
Kişi kredi kartı numarasını post ettiğinde, hash'lenmiş halini veritabanında arayıp daha önce var olan hash'ler ile uyuşuyorsa, ödemeyi engellesin.

Sizce bu bu çalışır mı?

MD5 ile hashleyebilirsin.

Tek taraflı (sha) olarak kart numarasını sadece engellenenleri veritabanında tutmanızın bir sakıncası olmayacaktır. Hacklenseniz ve kullandığınız hash yöntemi çözülse bile erişilebilecek olan sadece kart numarası olacağı için tek başına kimsenin işine yaramaz.

Hocam benim kafamı karıştıran şu aslında; mesela 1453 rakamını hashleyince, uzun karmaşık bir karakter dizisi çıkarıyor. 1453 ü tekrar hashleyince ilk hash karakterinden farklı bir karakter dizisi çıkarıyor. Haliyle ben ikisini karşılaştırınca, bana göre farklı karakter dizisi.

Acaba çalışır mı?
Zaten hash mantığı bu mu?

MD5’te aynısı çıkar. Ama geri çözemezsiniz. Sizin çözmeye ihtiyacınız olmadığı için ve aynı çıkmasını istediğiniz için MD5 dedim.

Tamam şimdi oldu hocam teşekkürler.

md5 yerine sha256 kullanmanızı öneririm.

Onda da sonuçlar sabit mi değişken mi hocam?

Laravel içinde nasıl kullanılıyor?

 $hash = Hash::make('secret');

olarak mı yoksa farklı mı?

MD5 ile saklamanın hiç bir faydası yok hepsi çözülebilir. Bunu Google'da 'MD5 Decode' diye bile aratsanız bulabilirsiniz.

Burada yapılması gereken önlemler arasında şunlar yer alıyor.

1 - Sadece kart numarasını saklamanız, hiç bir şekilde XX/XX - XXX saklamamanız gerekli.
2 - Web sitenizin ücretsiz bir SSL sertifikası kullanmaması, domain adresinizin DNSSEC korumasının açık olması gibi etkenlerde önemlidir.
3 - Her SSL sertifikasının belirli tutara kadar bir zarar karşılama durumu mevcut ama tabikide sözleşmelerinde olan kurallar dahilinde bir veri işleme politikanızın olmasıda şart.
Yoksa bu zarardan siz sorumlu tutulacaksınızdır.
4 - Gizlilik sözleşmeniz, KVKK ve Rıza metni gibi tuttuğunuz verilerin güvenliği ve sorumluluğunuzu yasalar dahilinde size yüklüyorlar ki bunada sorumlusunuz.
Hangi verileri sakladığınızı kesinlikle belirtmelisiniz.*
5 - İsim Soy isim veya kişisel bilgilerle kart bilgilerini asla eşleştirmeyip veritabanında bağımsız tutulmalı. Sebebi açık (oltalama) yöntemi ile adres kart bilgisi ile kartınız beklenmedik bir işlem sonucu dondurulmuştur diye mail atarlar. Güvenliği açması için XX/XX - XXX bilgilerini alırlar ve kartınız açılmıştır uyarısını banka görünümünde verirler.

Olası senaryoları değerlendirmek ve kullanıcılarınızın güvenliğini en iyi şekilde sağlamalısınız.
Eğer bu gibi bir soruyu burada belirtiyorsanız yasal ve sorumluluklarınızın ne olduğunu bilmenizi tavsiye etmekteyim.
Bu iş hiç şakaya gelmez