Простой ответ - да, я верю в это, но от этого зависит.
Вы можете установить переменные среды для различных ключей и других значений, относящихся к сторонней службе (http://docs.heroku.com/config-vars),, или просто отметьте их и разверните.
Если вы используете размещенный платежный сервис для authorize.net и перешли на их сайт, вам не нужен ssl самостоятельно. Если вы будете размещать форму с номером кредитной карты и личной информацией, а затем перенаправить ее на authorize.net через их API на сервере, вам нужно настроить ssl для heroku (http://docs.heroku.com/ssl), чтобы ваш Форма безопасна.
Теперь одно дело - принимать платежи по кредитным картам и просто передавать их, другое - сохранять номера кредитных карт и другую личную информацию. Не указывая вам на различные документы по стандартам безопасности (т.е. здесь применяется PCI DSS), я просто скажу, что, если вам абсолютно не нужно, не храните номера CC и связанную с ними личную информацию, просто перешли на шлюз и убедитесь, что вы не регистрация этих полей (http://guides.rubyonrails.org/security.html#logging). Если вам нужно хранить данные кредитной карты, я думаю, что вам нужно больше контролировать базу данных и сервер для достижения соответствия, и я не знаю общего облачного хоста, такого как AWS или heroku, который вы можете использовать и сделать это (может быть, какой-то другой пользователь SO исправит меня). Однако, используя платежный шлюз, как authorize.net, вы можете добраться туда.
Я также укажу, что в разных штатах теперь есть законы о хранении конфиденциальных данных (например, MA, где я живу), поэтому еще одна причина, по которой следует избегать этого, если это не является необходимым для вашей бизнес-модели.
Чтобы получить несколько устаревшее, но хорошее общее обсуждение соответствия PCI, смотрите здесь: http://broadcast.oreilly.com/2009/02/pci-in-the-cloud.html