La información de su tarjeta va a donde sea que se encuentre el formulario que completó. Podría conectarse a una página HTTPS perfectamente encriptada con SSL válido, pero si el formulario se envía enviando un correo electrónico a mybankhacker.com, ahí es donde irá. La mayoría de las veces, se devuelve al servidor al que se está conectando y luego lo envían a su proveedor de servicio comercial para que cargue su tarjeta, solo los acuerdos legales les impiden guardar una copia.
En otras situaciones, es posible que no quieran las cargas legales que exige la aceptación de tarjetas de crédito, por lo que pueden enviarlo a un proveedor de servicios comerciales, como Authorize.Net, que se encarga del procesamiento. En este caso, el formulario que muestran en realidad será proporcionado por el servidor de Authorize.Net y se enviará directamente a Authorize.net y solo obtendrán un código de confirmación después de completar la transacción. (Aunque Authorize.Net aún podría guardar una copia si lo quisieran).
Otra situación es que, en realidad, lo redirigen completamente al proveedor de servicios del comerciante o la pasarela de pago. Los sitios que usan Paypal, Google Pay o Amazon Payments son ejemplos de esto. Authorize.net también proporciona una opción como esta. En estos casos, se le redirige al sitio web del proveedor de servicio comercial, complete sus datos en el sitio de ese proveedor y luego lo redireccionará. Nuevamente, solo el proveedor de servicios comerciales obtiene sus datos y el proveedor / sitio que visitó originalmente solo recibe la confirmación del pago.
PCI-DSS es el documento de seguridad que rige las reglas que deben seguir las personas para tratar con su información de tarjeta de crédito (formalmente conocida como información de tarjeta de pago o PCI), sin embargo, fuera de una auditoría realizada por el proveedor de servicios comerciales o el banco comercial que maneja sus transacciones con tarjeta de crédito, no hay garantía de que cumplan con los requisitos.