Quiero saber qué tan seguro es transmitir los detalles de la tarjeta de crédito como texto sin formato a la pasarela de pago desde mi sitio web mediante HTTPS. No almacenamos ningún detalle en nuestra base de datos, pero leí que la transmisión de texto sin formato a la pasarela de pago no es compatible con PCI. Además, una vez que transmitimos los detalles al Gateway, devuelven un Token que utilizamos para pagos recurrentes, por lo que solo queremos asegurarnos de que estemos seguros o no.
Si está transmitiendo los detalles de la tarjeta de crédito a su pasarela de pago a través de HTTPS, no está transmitiendo en texto sin formato, está utilizando la criptografía SSL / TLS.
Una vez que no almacene los detalles en sus sistemas de forma voluntaria (utilizando bases de datos, etc.), su única preocupación serían los registros de su sistema, ya que pueden almacenar esta información sin su conocimiento, así que asegúrese de que no haya ningún registro almacenado los detalles de la tarjeta de crédito.
Podemos tener otro problema que un atacante puede usar para robar los datos de la tarjeta de crédito de su cliente antes de enviarlo a su servidor, este problema se llama Cross Site Scripting (XSS), tenga en cuenta.
Editar:
¡Ten cuidado!
No estoy diciendo que no necesite prestar atención en muchas otras posibles vulnerabilidades.
Solo digo que si un atacante obtiene acceso a sus servidores, no podrá robar los datos antiguos de la tarjeta de crédito si sigue las reglas anteriores.
Lea otras preguntas en las etiquetas secure-coding pci-dss