我的付款信息是否存储在你们的服务器上？

完整的信用卡号、CVV码和银行账户信息绝不会经过我们的服务器（Stripe） 。这些信息直接由我们通过PCI-DSS 1级认证的支付处理商处理，这是信用卡行业最高的安全标准。我们仅存储您的信用卡令牌（如果您选择启用此功能，即可重复使用已保存的信用卡）以及用于收据的后四位数字。即使我们的系统遭到入侵，您的信用卡数据也无法被访问，因为我们根本没有存储这些数据。

令牌化是一种技术机制，它无需存储实际的卡片数据即可实现卡片保存功能。当您选择保存卡片时，支付处理商会返回一个令牌——一个代表卡片在其系统中的无意义字符串——我们会存储该令牌而非卡号。未来的交易会引用该令牌，支付处理商会将其与他们持有的实际卡片数据进行比对，然后完成支付。该令牌对我们支付处理商系统之外的任何人都毫无用处；即使我们的整个数据库被盗，这些令牌也无法在其他任何地方用于卡片扣款。

将卡片数据存储在系统外部的架构选择，正是PCI合规意义重大而非仅仅勾选复选框的原因之一。PCI-DSS合规的最高级别——1级——适用于每年处理超过600万笔交易的支付处理商，包括年度现场审计、季度网络扫描和持续监控。担心在线平台支付安全的驾驶员可以询问任何支付服务商是否将卡片数据存储在自己的服务器上；正确的答案是“不，我们使用符合PCI标准的令牌化支付处理商”。任何其他答案都表明该服务商的支付安全体系存在结构性缺陷。