Протокол SSL создает защищенное соединение между пользователем и сервером, и в это соединение невозможно просто так вклиниться. Магазин osCommerce 3 устроен так (как впрочем, и многие другие), что для оплаты используется сервер сторонней платежной системы, который как правило защищен протоколом SSL. Реально есть лишь угроза перехвата некоторых данных (за исключением платежных), которые могут быть перехвачены без протокола SSL. Кроме того, при редиректе после платежа из платежной системы, где был SSL на завершающем этапе - возникнет предупреждение что вы переходите на страницу, которая не защищена.
Магазин, который заботится о том чтобы личные данные клиента не ушли на сторону, должен применять SSL. Имея SSL на сервере, вы можете быть намного более уверенными в надежности защиты передаваемых пользователем Вам данных (от вклинивания в соединение). Западные клиенты очень мало доверяют магазинам, где нет SSL. У нас на просторах СНГ об этом пока мало думают.
Кроме того, если принимать кредитки по номеру прямо в магазине (без сторонних шлюзов), что в СНГ нигде не практикуется, то без SSL просто не обойтись.