Кажется, вы спрашиваете о двух разных вещах? Но я хотел бы попытаться ответить на них обоих.
ВОПРОС 1
Если я правильно вас понимаю, ваш первый вопрос - как PayPal может обеспечить защиту клиента от «делового партнера», которого я, как и PayPal, чаще называю «торговцем».
Вы упоминаете имя пользователя и пароль, собранные «деловым партнером», поэтому я обращусь к этому в первую очередь. Обычно имя пользователя и пароль защищены только тем сайтом, на котором они собраны. Часто сайт будет иметь логин и сеанс, которые отделены от логина и сеанса для PayPal. Таким образом, даже если сайт использует PayPal, он, вероятно, не использует PayPal для защиты учетных данных учетной записи для входа на свой собственный сайт.
Если сайт использует PayPal и клиенту / пользователю предлагается войти в свою учетную запись PayPal для осуществления платежа, то учетные данные следует отправлять только на сайт PayPal (вы можете найти paypal.com в форме действия [просмотреть исходный код]). Обычно клиент может войти в PayPal только через форму на странице, которую обслуживает PayPal (paypal.com находится в URL). Я бы с подозрением относился к любой странице, которая побуждала пользователя войти в свою учетную запись PayPal, у которой не было paypal.com в домене URL. Даже eBay, который теперь принадлежит тому же владельцу, что и PayPal, будет предлагать пользователям eBay вводить свои учетные данные PayPal на странице, которая обслуживается через paypal.com.
Существует несколько способов осуществления обработки платежей с помощью PayPal. Обычно продавцы осуществляют обработку платежей PayPal таким образом, чтобы клиент вводил данные своей кредитной карты только на серверы PayPal. Это один из способов, с помощью которых PayPal может защитить клиента от делового партнера / продавца. Когда PayPal собирает информацию о кредитной карте клиента, PayPal не передает информацию о кредитной карте продавцу. Торговцу отправляются только те данные, которые необходимы для определения статуса платежа / транзакции.
PayPal также предлагает другой тип защиты для клиента. Она называется «Защита покупок» (ранее «Защита покупателя») и представляет собой набор гарантий, политик, веб-приложений, организации и многого другого, что обеспечивает покупателю то, за что он платит продавцу.
Кроме того, я хотел бы добавить: многие продавцы считают информацию о кредитной карте обязательной. Некоторые могут собирать его, чтобы предоставить пользователю возможность обрабатывать будущие платежи без повторного входа, но многие просто не хранят информацию о кредитной карте, чтобы избежать ответственности. Вы никогда не должны отправлять данные своей кредитной карты в незашифрованном виде. Вы можете проверить, что информация о вашей кредитной карте будет отправлена в зашифрованном виде, проверив действие формы, которая собирает информацию о вашей кредитной карте. Большинство браузеров сообщают вам, если ваша информация размещается по протоколам, которые ухудшаются в плане безопасности, например HTTPS (зашифрованный) до HTTP (простой текст), поэтому иногда проверяют, что текущий URL МОЖЕТ быть достаточно хорошим (хотя есть еще способы обойти этот).
ВОПРОС 2
SOAP - это протокол обмена данными, который можно использовать для связи с продавцом («деловым партнером») и PayPal. Я не верю в то, что между клиентом и деловым партнером (продавцом) обычно происходит SOAP-транзакция (как вы указали), но от продавца к PayPal можно использовать API-интерфейс PayPal SOAP. Этот метод передачи данных так же безопасен, как и другие методы, потому что связь должна быть зашифрована для подключения к SOAP-серверам PayPal. Подробнее см. SOAP API PayPal или протокол SOAP .