Voglio sapere quanto è sicuro trasmettere i dettagli della carta di credito come testo normale al gateway di pagamento dal mio sito Web utilizzando HTTPS. Non memorizziamo alcun dettaglio nel nostro database, ma leggo che la trasmissione di testo normale al gateway di pagamento non è conforme allo standard PCI. Inoltre, una volta che trasmettiamo i dettagli al gateway, restituiscono un token che utilizziamo per i pagamenti ricorrenti, quindi vogliamo solo assicurarci che se siamo sicuri o meno.
Se stai trasmettendo i dettagli della carta di credito al tuo gateway di pagamento tramite HTTPS, non stai trasmettendo in testo normale, stai utilizzando la crittografia SSL / TLS.
Una volta che non hai memorizzato i dettagli nei tuoi sistemi volontariamente (usando database, ecc.), la tua unica preoccupazione sarebbero i registri del tuo sistema, perché possono memorizzare queste informazioni a tua insaputa, quindi assicurati che nessun registro sia memorizzato i dettagli della carta di credito.
Possiamo avere un altro problema che un utente malintenzionato può utilizzare per rubare i dettagli della carta di credito del cliente prima di inviarlo al server, questo problema è chiamato Cross Site Scripting (XSS), attenzione.
Modifica:
Stai attento!
Non sto dicendo che non devi prestare attenzione in tonnellate di altre possibili vulnerabilità.
Sto solo dicendo che se un utente malintenzionato accede ai tuoi server, non sarà in grado di rubare i dettagli della vecchia carta di credito se segui le regole precedenti.
Leggi altre domande sui tag secure-coding pci-dss