Esto depende de cómo se transfieren los datos.
Aquí está la cosa: a menos que el atacante obligue al cliente a usar una suite de cifrado débil, SSL es supuestamente irrompible durante algo así como un billón de años. Entonces, siempre y cuando no haya conexiones sin cifrar en esta cadena, todo está configurado, independientemente de la frecuencia con la que se cifren sus datos.
Eso es lo bueno. Aquí está el inconveniente: si, como usted dice, "su sitio / servicio no tiene una buena capa de seguridad para los datos que se transmiten", entonces no, sus datos no son realmente seguros. Si no son compatibles con un cifrado sólido, es muy probable que se lo pierdan (si alguien decide hacerlo, es decir). Por supuesto, es probable que los contratos de la empresa de comercio electrónico sean responsables de la seguridad de las transacciones, etc., por lo que está legalmente bastante seguro (aunque dudo que sus clientes estén particularmente contentos con usted).
Como dije, depende de cómo funciona la configuración. Si se trata de un simple <iframe> o algo similar, en realidad se están conectando directamente al sitio de comercio electrónico, por lo que no puede garantizar ningún tipo de seguridad. Por otro lado, tiene un grado de estabilidad si la información se enruta a través de usted, porque existe una excelente defensa contra los ataques de rastreo: el uso de conexiones por cable. A menos que alguien penetre físicamente en su compañía, será imposible para ellos oler su conexión. Así que sí, no importa cómo usted transmita la información a la empresa de comercio electrónico porque puede estar bastante seguro de que un atacante nunca la ve (no puede conectarse a su red).
Pero aquí está la conclusión: si algún remitente o receptor de datos en una cadena de comunicaciones no admite un cifrado sólido, no se puede garantizar la privacidad de la información enviada a lo largo de la cadena mencionada.