La respuesta simple es sí, creo que sí, pero más allá de eso depende.
Puede establecer variables de entorno para varias claves y otros valores relacionados con el servicio de terceros (http://docs.heroku.com/config-vars), o simplemente registrarlos e implementarlos.
Si está utilizando el servicio de pago alojado para authorize.net, y lo reenvía a su sitio, no necesita ssl usted mismo. Si va a alojar el formulario donde se envían el número de tarjeta de crédito y la información personal, luego reenvíe esto a authorize.net a través de su API en el servidor, necesita configurar ssl para heroku (http://docs.heroku.com/ssl) para que su formulario sea seguro.
Ahora, una cosa es aceptar el pago a través de tarjetas de crédito y simplemente pasarlo a través, otra es guardar números de tarjetas de crédito y otra información privada. Sin indicarle varios documentos de estándares de seguridad (es decir, PCI DSS se aplica aquí), simplemente le diré que a menos que sea absolutamente necesario, no almacene números CC e información personal relacionada, solo reenvíese a la puerta de enlace y asegúrese de que no esté registrando esos campos (http://guides.rubyonrails.org/security.html#logging). Si necesita almacenar datos de la tarjeta de crédito, creo que necesita tener más control de la base de datos y el servidor para alcanzar el cumplimiento, y no conozco un host en la nube general como AWS o heroku que pueda usar y hacer esto (tal vez algún otro usuario de SO me corregirá). Sin embargo, usar una pasarela de pago como authorize.net puede llevarte allí.
También señalaré que diferentes estados ahora tienen leyes sobre el almacenamiento de datos confidenciales (como MA, donde vivo), por lo tanto, otra razón para evitar hacerlo a menos que sea esencial para su modelo comercial.
Para una discusión general un poco anticuado, pero bien de cumplimiento de PCI, mira aquí: http://broadcast.oreilly.com/2009/02/pci-in-the-cloud.html
"Si es necesario reenviar los datos de la tarjeta de crédito" Qué quiere decir "almacén de datos de tarjetas de crédito"? – James
sí, quise decir respuesta editada por la tienda. Gracias. –
Tengo curiosidad: la mayoría de las pasarelas de pago requieren direcciones IP para el servidor. ¿Cómo funciona esto para las aplicaciones alojadas de heroku, ya que todas tienen el mismo registro A (proxy.heroku.com) –