He notado que las pasarelas de tarjetas de crédito actuales como stripe y wepay recomiendan enviar el número de tarjeta de crédito a través de su marco js (que usaría algo de magia iframe jsonp para pasar los datos).
Por lo que sé, no es necesario que se preocupe por el cumplimiento de PCI que no sea el uso de SSL.
Entiendo que almacenarlo puede llevar a muchos problemas, desde cómo se almacena (fuerza de cifrado) para proteger del acceso de los empleados a la base de datos, a la protección de la base de datos de la inyección de SQL, etc. Pero si no se almacena, ¿cómo podría hacerlo? ¿Se comprometen los datos? Si me preocupa que alguien ingrese a mi servidor y modifique los archivos para que se dirijan los datos a ellos mismos, entonces no marcará la diferencia en mi código.
Mi pregunta es, ¿cuáles son los riesgos de seguridad si mi servidor envía la información del cc (incluso sin almacenarla) en lugar de que el navegador / cliente la haya enviado?