Ho notato che gli attuali gateway delle carte di credito come stripe e wepay incoraggiano l'invio del numero della carta di credito tramite il loro framework js (che userebbe qualche iframe jsonp magic per passare i dati).
A mia conoscenza, in questo modo non devi preoccuparti di gran parte della conformità PCI se non utilizzando SSL.
Comprendo che l'archiviazione può portare a molti problemi, dal modo in cui è memorizzato (forza della crittografia) per proteggere dai dipendenti l'accesso al database, alla protezione del database dall'iniezione SQL ecc. Ma se non viene memorizzato, come potrebbe i dati sono stati compromessi? Se sono preoccupato che qualcuno entri nel mio server e modifichi i file per indirizzare i dati a se stessi, allora non farà la differenza quale sia il mio codice.
La mia domanda è: quali sono effettivamente i rischi per la sicurezza quando il mio server invia le informazioni cc (anche senza memorizzarle) per averle inviate dal browser / client?