你没有列出你来自哪里，所以这些答案假设你住在美国。

信用卡处理器必须遵守称为PCI-DSS（支付卡行业数据安全标准）的标准。它列出了应该如何处理和存储数据，以及（一些非常大的）失败的惩罚。较大的公司（如零售连锁店）接受审计 - 较小的集团可能会获得豁免。此处讨论的关键是所有信用卡号（和一些附加信息）以及（至少）系统管理员的密码，都应尽可能保持加密（尤其是在存储中）。

但是，学校可能会安全地处理您的信用卡，而其他安全性却很差。请考虑：

• 你能看到你完整的信用卡号码吗？如果是这样，我会感到震惊，尽管该公司可能需要某种方式来逆转解密以处理诸如逆转之类的事情。
• 除了支付孩子的学费，这个网站还能做什么？您不太可能从那里在 Ebay 上购买东西，因此不安全的密码可能不是问题（只需使用不同的密码）。

因此，他们可能存在安全问题，或者可以故意放宽以允许“更友好”的系统。鉴于系统的行为，您确实有正当理由向他们询问。如果他们的回答表明安全性不足/不存在，您应该要求进行会计处理，至少让他们将网站下线，并在必要时报告（请记住，如果征收罚款，这将增加学费）。

编辑：

如果学校不直接处理信用卡号，或者任何相关的付款信息，他们不对PCI 违规行为负责（我知道）。这是许多网站将付款转移到 Paypal 等服务的众多原因之一——它们不再承担责任（合规性很困难）。我认为他们确实有义务选择一个安全、可靠的处理器，但我不知道我是否会为此起诉他们——支付公司有责任采取适当的行动（这就是他们提供的服务）。

以纯文本形式存储最终用户密码令人不安，但这可能仍然不是问题。向他们发送一封电子邮件/信件，提及这一事实（尤其是他们向您邮寄了一封带有纯文本密码的信件），并询问发生了什么事。同样，如果您（完全）无法看到您的付款信息，则仍可以安全地处理它（如果显示，请报告）。否则，考虑到（可能极其）受限的金融领域，攻击者不可能对这些信息做太多事情——如果可能的话，为自己支付学费将是一种无用的赠品。

如果您仍然担心，请删除您自己的所有信息，通过支票付款，并将您的疑虑通知您的学校。

首先，切勿在该网站上使用您的借记卡。如果您绝对必须使用该网站，请仅使用信用卡。使用信用卡，您可以免受欺诈交易的侵害，并且通常没有或很少（50 美元）的责任。使用借记卡，您最终可能会拿回您的钱，但在您这样做之前，您仍然会自掏腰包……

不要向该站点提供任何非绝对必需的数据。从该网站上删除任何银行详细信息。一个不安全的网站，如果有人掌握了您的用户名/密码（这似乎是合理的），然后他们得到了您的姓名、地址、抄送信息、银行信息等，您就是在自找麻烦。

如果网站在授权后存储您的 CCV 号码，则属于违规行为。如果他们只是存储号码和您的其他信息，他们可能在 PCI 合规范围内。

仔细阅读 PCI 标准的第 3 条要求，看看您是否注意到任何违规行为。但是，PCI 确实是关于卡和持卡人数据，以及该数据的处理/保留，我认为对网站密码没有任何要求。

@X-Zero 已经提到了 PCI 合规性，这里是每个主要品牌的 URLS 和电子邮件地址，您可以通过电子邮件询问他们对同时托管信用卡号码的网站的意见。很有可能，如果您的密码没有加密，那么网站上的任何其他信息也不会加密。

美国运通

• http://www.americanexpress.com/datasecurity
• 北美邮箱：AmericanExpressDataSecurity ataexp.com

发现

• http://www.discovernetwork.com/resources/data/data_security.html
• 电子邮件：askdatasecurity atdiscover.com

JCB

• http://www.jcb-global.com/english/pci/index.html
• 电子邮件：风险at管理 jcbati.com

万事达

• http://www.mastercard.com/sdp
• 电子邮件：sdp atmastercard.com

签证美国

• http://www.visa.com/cisp
• 电子邮件：cisp atvisa.com

Visa 还维护一个符合 PCI 的支付处理商列表，因此您可以鼓励学校从该列表中挑选供应商，如果处理商尚未在列表中。

• http://usa.visa.com/download/merchants/cisp-list-of-pcidss-compliant-service-providers.pdf

如果您仍然不愿意与该处理器打交道，您可以开始写支票，或使用您银行的账单支付服务来削减支票，如果这是他们将要使用的支付处理器，您可以向学校说明，并向学校说明您对他们选择的提供商不满意，并且您对该组织处理应该是机密信息的方式感到非常不舒服。

不幸的是，有很多人涉及信息处理领域，他们确实没有专业知识来正确处理，在某些情况下甚至不知道有指导方针和最佳实践可以遵循，但他们认识某人谁认识某人，他们得到了一台信用卡处理机，建立了一个网站，最后签订了一份处理学校付款的合同。

如果你花太多时间去想它，外面的世界就会很可怕。

实际上：走开。我假设您不会以某种方式被迫使用这家公司——您可以邮寄支票而不是使用学费处理公司的网站。

我说只是走开的原因是因为糟糕的密码处理程序可能只是更深层次的安全无知的症状。（如果他们无法正确获取密码，您愿意打赌没有 SQL 注入漏洞允许某人访问整个数据库，包括卡号和个人详细信息？这不是一个假设性问题：你的钱已经上线了。）

在您取消帐户之前：

• 删除您的信用卡详细信息，或将其编辑为虚假信息。
• 扰乱您的个人信息：将您的地址、电话号码、电子邮件编辑为虚假信息。

如果您愿意付出一些（可能很多）额外的努力，请向学校官员解释您已取消帐户，告诉他们原因，并在与当前提供商的合同到期时帮助他们选择另一家提供商。

我喜欢 X-Zero 的回答。这一切都归结为 - 系统使用密码严重保护了哪些数据，而不是其他方的系统。有保护信用卡信息的法律——正如 X-Zero 所提到的。不同的州也有不同的法律保护“个人信息”——例如您的地址、出生日期和其他个人详细信息。它变得复杂，因为提供服务的公司可能与您和学校不在同一州 - 并且法律覆盖范围在服务位置（公司的服务器）与违规位置方面的差异（您的家、邮件等），可能会使执法面临各种挑战。所以——在实际意义上——是的，有法律，但除非你有兴趣在这项工作上投入大量资金，

更实际意义上的后备：

• 极端 - 调查其他学校的学费系统，并转移一所更重视您的隐私的学校。对我来说似乎很极端，但这可能是最有力的方式来说明这一点。

• 不那么极端——坚持纸质账单或任何其他涉及不保持在线账户的机制。

• 不那么极端——向学校和公司投诉。与公司一起，详细解释并参考您认为被违反的法律。与学校一起，解决问题并推荐替代方案。根据我的经验，教育系统正在伤害聪明的技术人员，如果你自愿提供帮助并为问题负责，你就可以按照自己的方式行事。

• 专注于保护 - 建立一个您可以纯粹用于此目的的低限额信用卡。信用卡公司提供的“临时”号码和其他保护措施限制了卡号利用的损害。如果您无法修复系统，请限制损坏。

• 保持您的数据处于良好状态 - 定期查看暴露的信用卡账单，检查您的信用报告等。一般良好的消费者健康检查类型的东西对您有益，无论您使用的系统的安全性是否存在弱点。