En mi opinión es arriesgado usando HTTP.

Lo minimo que debe instalar tu cliente es un certificado de seguridad SSL o que el proveedor de hosting le permita usar uno ya instalado en el servidor. Estos certificados son algo costosos y creo que no vale la pena instalar uno solo para recibir la tarjeta como "garantía" de pago.

visita www.Verisign.com y www.GeoTrust.com para que veas los detalles.

Sino me equivoco, cuando tienes instalado este certificado, es cuando ves las conexiones seguras que comienzan con https.

En mi opinión le diría a tu cliente que esto no es recomendable porque si al usuario le extraen la tarjeta afectará notablemente la reputación de tu cliente.

Saludos, Luis Vásquez