Recientemente intenté actualizar la información de mi tarjeta de crédito en un sitio que se sirve a través de HTTP. Incluso después de iniciar sesión, el sitio permanece en HTTP!
Me di cuenta de que Chrome no me permitiría usar las tarjetas de crédito guardadas por este motivo.
Al ponerse en contacto con la empresa, respondieron que la ventana de pago en sí está alojada en el proveedor de pagos y que funciona como un modo a través de HTTPS.
Simplemente no puedo ver cómo esto es seguro, porque cualquiera podría realizar fácilmente un ataque de hombre en el medio y reemplazar el modal con su propia forma y recuperar la información de la tarjeta.
Luego me puse en contacto con el proveedor de pagos, pero tampoco tuvieron problemas para aceptar las direcciones del remitente HTTP y de devolución de llamada desde su página de pago. Aparecí vacío al analizar los requisitos de cumplimiento de PCI, porque no describen los requisitos para las soluciones alojadas, como en este escenario.
EDITAR: Hice esta captura de pantalla para agregar algo de claridad al escenario: Demostración del hombre en el medio
Las claves se registran en el formulario de inicio de sesión y la tarjeta de crédito "segura" se reemplaza por una imagen la segunda vez que se carga.