Kreditkartendaten werden clientseitig mit einem Public-Key des Payment-Providers verschlüsselt. Das bieten verschiedene Payment-Provider an und das haben wir auch schon einmal für Kunden implementiert.

Als Hintergrundinfo: Payment-Provider bieten m.W. grob drei Möglichkeiten an.

• Link bzw. Submit-Button, der zum Payment-Provider weiterleitet und nach erfolgter Zahlung wieder zurück leitet mit einer Transaktions-ID o.ä. als Query-Parameter
• Einbindung der Seite des Providers mit einem IFRAME
• Zahlungsdaten werden per JavaScript clientseitig verschlüsselt und erst einmal zum Server des Website-Betreibers geschickt, von dort aus zum Payment-Provider

Soweit ich weiß, ist das erste Verfahren das sicherste und das letzte das problematischste. Es ist beim ersten natürlich möglich, den Nutzer per XSS auf eine gefälschte Seite https://paypaal.com zu leiten, aber dies fällt schneller auf.

Die beiden letzten Möglichkeiten werden aus Gründen des Komforts und der nahtlosen Einbettung genutzt, weniger aus Sicherheitsgründen.

Mathias