Kreditkartendaten werden clientseitig mit einem Public-Key des Payment-Providers verschlüsselt. Das bieten verschiedene Payment-Provider an und das haben wir auch schon einmal für Kunden implementiert.
Als Hintergrundinfo: Payment-Provider bieten m.W. grob drei Möglichkeiten an.
- Link bzw. Submit-Button, der zum Payment-Provider weiterleitet und nach erfolgter Zahlung wieder zurück leitet mit einer Transaktions-ID o.ä. als Query-Parameter
- Einbindung der Seite des Providers mit einem IFRAME
- Zahlungsdaten werden per JavaScript clientseitig verschlüsselt und erst einmal zum Server des Website-Betreibers geschickt, von dort aus zum Payment-Provider
Soweit ich weiß, ist das erste Verfahren das sicherste und das letzte das problematischste. Es ist beim ersten natürlich möglich, den Nutzer per XSS auf eine gefälschte Seite https://paypaal.com zu leiten, aber dies fällt schneller auf.
Die beiden letzten Möglichkeiten werden aus Gründen des Komforts und der nahtlosen Einbettung genutzt, weniger aus Sicherheitsgründen.
Mathias