CSRF была исправлена более года назад в OpenCart (версия 1.4.8 или 1.4.8b, я думаю, что так и было) - это было сделано только на стороне администратора, поэтому это не влияет на ваш платежный шлюз и т. Д.
Вы должны использовать SSL-сертификат для любого сайта, на котором вы собираетесь получать личную информацию людей, независимо от того, как они осуществляют платежи. Тем не менее, PayPal (стандартный) будет использовать всю безопасность PayPals, и поэтому вам не нужно беспокоиться об этой стороне вещей, так как любая ответственность будет лежать на них, если какие-либо платежные реквизиты будут потеряны / украдены в ходе этого процесса.
Тем не менее, у меня никогда не было проблем ни с одним из моих сайтов или клиентских сайтов, где какая-либо пользовательская информация была украдена в результате плохой безопасности PayPal, разве я не слышал, что кто-то должен быть честным, так что вы ' в хороших руках, если вы их используете