Una determinada pasarela de pago que utilizo permite dos métodos de integración:
- Un formulario de pago alojado, que agrega a su sitio web con un iframe.
- Un punto final de API para enviar los detalles de pago al uso de HTTPS (para diseñar sus propios formularios).
Comprendo que, cuando se configura correctamente, la solución de iframe es muy a prueba de balas porque elimina cualquier error de la imagen, por lo que mi pregunta es sobre cómo el gateway maneja el método 2.
Tenía la impresión de que HTTPS era un mecanismo de cifrado que era perfectamente adecuado para transmitir detalles de pago, sin embargo, la puerta de enlace solo permite el acceso de API a través de HTTPS para campos de formulario que se han cifrado en el navegador con JavaScript.
Proporcionan una biblioteca de JavaScript que realiza lo que parece ser un cifrado AES256 en campos confidenciales cuando se envía el formulario. El JavaScript obtiene una clave pública y un nonce de la puerta de enlace, que se inyecta en el formulario HTML, y luego los campos específicos (tarjeta de crédito, etc.) se cifran antes de enviarse a través de HTTPS a la puerta de enlace.
No puedo resolver las siguientes preguntas por mí mismo:
¿HTTPS no es adecuado para enviar datos de pago? ¿Qué problemas de seguridad de la información está resolviendo esto? ¿Este método realmente aumenta la seguridad? ¿Este método de cifrado de datos tiene un nombre? ¿Hay algún lugar donde pueda leer más?