Como mencionado acima, não armazene informações de cartão de crédito em um banco de dados. É uma receita para problemas. Fazer isso fará de você um alvo muito atraente para hackers e, se eles forem bem-sucedidos em recuperá-los, encerrará seu negócio e potencialmente arruinará sua vida, bem como a vida daqueles cujos números de cartão de crédito são roubados.

Dito isto, aqui estão três coisas a considerar:

1) Sua melhor aposta é usar um processador de pagamento/gateway de pagamento que ofereça cobrança recorrente. Um exemplo disso é o Faturamento recorrente automatizado do Authorize.Net serviço. Depois de configurar a assinatura, eles cobrarão automaticamente do usuário todos os meses e informarão os resultados da transação. Isso economiza muito trabalho e libera você da responsabilidade de armazenar informações de cartão de crédito.

2) Se você armazenar números de cartão de crédito da loja, deverá seguir as diretrizes PCI . Essas diretrizes são definidas pelo setor de cartões de pagamento e definem o que você pode e o que não pode fazer. Também define como as informações do cartão de crédito devem ser armazenadas. Você precisará criptografar os números do cartão de crédito e deve, mas não é obrigado, criptografar as informações relacionadas (data de validade, etc). Você também será obrigado a garantir que seu servidor web e rede estejam seguros. O não cumprimento da conformidade com o PCI resultará na perda de sua conta de comerciante e na proibição de ter uma verdadeira conta de comerciante para sempre. Isso limitaria você a usar processadores de terceiros que são menos flexíveis. Tenha em mente que as diretrizes do PCI são um bom começo, mas dificilmente um "como fazer" quando se trata de segurança online. Seu objetivo seria exceder a recomendação (em muito).

3) As leis específicas do estado e do país substituem a conformidade com o PCI. Se você sofrer uma violação e os números do cartão de crédito forem roubados, você corre o risco de ser processado criminalmente. As leis variam de estado para estado e estão constantemente em fluxo, pois os legisladores estão apenas começando a perceber o quão sério é o assunto.

No que diz respeito à criptografia, certifique-se de ler quais algoritmos de criptografia são seguros e ainda não foram quebrados. Blowfish é um bom começo e se você usa PHP a biblioteca mcrypt é recomendado (exemplo ).