Actualmente estoy trabajando como voluntario en una organización sin fines de lucro. Mientras investigaba algo no relacionado, noté que una agencia de $ sister estaba utilizando un iFrame incorporado para aceptar donaciones en línea. Si bien la fuente del marco utiliza HTTPS, la página en la que se encuentra es HTTP.
$ sisteragency utiliza un software de CRM de terceros para manejar las donaciones, proporcionado por $ crmcompany. $ crmcompany afirma ser compatible con PCI, pero sus instrucciones parecen basarse en agregar el iFrame a una página insegura. Su base de conocimientos contiene un mensaje sugerido para mostrar a los usuarios que se reduce a: "Aunque no puede ver el candado o https en la barra de direcciones, la parte de la página que captura su información de pago [el iFrame] es segura". Su página de YouTube tiene un video tutorial donde muestran el iFrame (con un https src) que se agrega a una página http. Su sitio incluso tiene instrucciones paso a paso para responder a las consultas de cumplimiento de PCI de un procesador de pagos (como en, exactamente lo que debe ingresar en cada campo).
Todo esto me parece muy sombrío. ¿No podría un hombre en el ataque central modificar el src del iFrame, ya que la página que contiene es http? A pesar de las reclamaciones de $ crmcompany, ¿no es responsable también la responsabilidad de PCI de $ sister ($ crmcompany dice que es responsable del cumplimiento de sus clientes)? ¿Es $ crmcompany negligente y / o no cumple con proporcionar instrucciones para incrustar el sistema de pago seguro en una página insegura?
Básicamente, ¿tengo derecho a estar tan inquieto por todo esto?