是的，这是个大问题。这是不安全的，并且违反了PCI DSS 4.1：

4.1 Use strong cryptography and security 
protocols (for example, SSL/TLS, IPSEC, 
SSH, etc.) to safeguard sensitive 
cardholder data during transmission over 
open, public networks. 

您可以通知他们他们不合规，但他们很可能已经知道这一点。如果您可以确定他们的收单方或处理方是谁，您可以尝试通知他们，因为如果发生违规行为，他们才是真正被罚款的人（......然后他们会将罚款转嫁给相关的商家） . 但总体而言，PCI DSS 结构旨在鼓励安全并惩罚责任方，而不是强制执行安全。

电子商务的第一诫是：

你应该使用 HTTPS。

PCI DSS要求对通过开放公共网络发送的持卡人信息进行适当加密（第 4.1 节）。

对于 SSL/TLS 实施，检查系统配置以验证在传输或接收持卡人数据时是否启用了 SSL/TLS。例如，对于基于浏览器的实现：

• “HTTPS”显示为浏览器通用记录定位器 (URL) 协议，并且
• 仅当“HTTPS”作为 URL 的一部分出现时才会请求持卡人数据。

如果不这样做，两个端点之间的任何人（在这种情况下是您和网站）都可以通过网络窃取您的信用卡信息。

这几乎肯定违反了商家与其商家账户提供商/银行的协议。

是的，这是一个严重的问题。不仅任何嗅探连接的人都可以轻松访问数据，而且使用 HTTPS 是一种基本措施，不使用 0 表示他们不知道自己在做什么，而且很有可能出现更大的问题也在场。例如，我希望通过 HTTP 接受信用卡数据的网站以同样愚蠢和不安全的方式存储它。我会远离任何可以实现如此基本的东西的商人。

此外，正如@itscooper 在评论中提到的那样，这明显违反了 PCI-DSS，他们可能会因此被罚款，或者失去他们的商家账户（以及接受信用卡的能力）。

从技术角度来看，它会给持卡人数据带来重大的安全风险。它将以明文形式在互联网上传输。任何监控此路径上流量的恶意实体都能够捕获 PAN 和其他卡详细信息。在公共/开放网络或受感染的私人网络（例如家庭/工作）上付款的人最容易受到攻击。

从合规角度来看，所有处理、存储或传输持卡人数据的实体都必须遵守支付卡行业数据安全标准 (PCI DSS)。要求 4.1 如下：

使用强大的加密和安全协议（例如 SSL/TLS、IPSEC、SSH 等）在通过开放的公共网络传输期间保护敏感的持卡人数据...

https://www.pcisecuritystandards.org/documents/PCI_DSS_v3.pdf

据我了解，收单银行可能会因违反这些要求而被罚款，他们很可能会将这些要求传递给商家。