o erDevido a preocupações de segurança, não é possível transmitir dados sensíveis, como informações de cartões de pagamento, em servidores que não estejam em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

O PCI DSS estabelece diretrizes rigorosas para proteger esses dados, e servidores não conformes estão suscetíveis a ataques de hackers, vazamentos de dados, penalidades financeiras, danos à reputação e responsabilidade legal. 

Para poder trafegar dados de cartão abertos em seu servidor, você deve ser PCI Compliance. Por isso, é obrigatório que parceiros Stone que as requisições sejam enviadas sempre usando o card_id ou card_token, de forma que você não precise trafegar os dados de cartão no seu servidor.

NÃO TRAFEGUE DADOS DE CARTÃO EM SEU SERVIDOR

Fluxo

Implementação

Dessa forma a API do Pagar.me oferece duas opções possíveis para contornar esse fluxo:

1)Via Script

Código Java Script para ser implementado no FRONT END. Confira o passo a passo em: https://docs.pagar.me/reference/pagarme-js

2)Via Rotas diretas

Caso não seja possível embarcar nosso script tokenizecard.js em sua página, você pode chamar diretamente a API de criação de tokens de cartão. Os dados de cartão deverão ser enviados para a API da Pagar.me antes de submeter o formulário para o seu servidor. Nós retornaremos um objeto token, que deverá ser utilizado em sua requisição, no lugar dos dados de cartão.

Referência: https://docs.pagar.me/reference/criar-token-cart%C3%A3o-1

Como fica o fluxo de cadastro de cartão para transações posteriores?

O fluxo é muito semelhante com a diferença de ao invés de criar o pedido diretamente será salvo o cartão gerando assim um card_id o qual pode ser utilizado em futuras transações. 

Confira um exemplo de interface de usuário após o cartão salvo. 

Veja mais

Como corrigir o erro de CORS?