¿Necesitas cumplir PCI DSS?

Si nunca tocas datos de tarjetas, no. Usa tokenización del proveedor y evitas todo ese compliance. Stripe, PayPal y otros manejan los datos sensibles. Tu sistema solo guarda tokens que son inútiles fuera de tu cuenta.

Pero ojo: si guardas CVV aunque sea por un segundo, o logeas números de tarjeta completos, ya caíste en PCI DSS. Es un dolor que no quieres.

¿Cómo verificas que los webhooks son legítimos?

Cada proveedor firma sus webhooks. Stripe usa HMAC SHA256, PayPal tiene su propio esquema. Siempre verifica la firma antes de procesar. He visto sistemas en producción que aceptan cualquier POST a su endpoint de webhooks.

Eso significa que cualquiera puede enviar un JSON simulando un pago exitoso y tu sistema lo acepta. Implementa verificación de firma desde día uno.

¿Qué datos debes encriptar en tu base de datos?

Como mínimo: nombres completos, direcciones, emails de clientes. Usa encriptación a nivel columna, no solo a nivel disco. Si te hackean la base de datos, que los datos sean ilegibles.

• Nunca guardes datos de tarjetas completos
• Encripta información de identificación personal
• Usa hashing con salt para cualquier dato sensible
• Implementa audit logs de quién accede a qué

¿Los logs pueden ser un riesgo?

Absolutamente. He visto logs con tokens completos, números de tarjeta enmascarados pero reconstruibles, y direcciones IP de clientes. Sanitiza tus logs. Enmascara datos sensibles antes de escribir a disco. Y rota logs frecuentemente.