Un determinato gateway di pagamento che utilizzo consente due metodi di integrazione:
- Un modulo di pagamento ospitato, che aggiungi al tuo sito web con un iframe.
- Un endpoint API per inviare i dettagli del pagamento all'utilizzo di HTTPS (per lo styling di moduli personalizzati).
Capisco che, se configurato correttamente, la soluzione iframe è molto a prova di proiettile perché elimina qualsiasi errore dall'immagine, quindi la mia domanda riguarda il modo in cui il gateway gestisce il metodo 2.
Ho avuto l'impressione che HTTPS fosse un meccanismo di crittografia perfettamente adatto alla trasmissione dei dettagli di pagamento, tuttavia il gateway consente solo l'accesso API attraverso HTTPS per i campi modulo che sono stati crittografati nel browser utilizzando JavaScript.
Forniscono una libreria JavaScript che esegue ciò che sembra essere la crittografia AES256 sui campi sensibili quando il modulo viene inviato. Il codice JavaScript ottiene una chiave pubblica e nonce dal gateway, che viene iniettato nel modulo HTML, quindi i campi specifici (carta di credito, ecc.) Vengono crittografati prima di essere inviati tramite HTTPS al gateway.
Non riesco a risolvere da solo le seguenti domande:
HTTPS non è adatto per l'invio dei dettagli di pagamento? Quali problemi di sicurezza delle informazioni è questa soluzione? Questo metodo aumenta effettivamente la sicurezza? Questo metodo di crittografia dei dati ha un nome - c'è un posto dove posso leggere di più?