NÃO FAÇA ISSO
Há simplesmente muito risco envolvido, e você normalmente precisará ser auditado externamente para garantir que está cumprindo todas as leis e práticas de segurança locais relevantes.
Existem muitas empresas terceirizadas que fazem isso para você que já passaram por todos os problemas para garantir que seu sistema seja seguro, que cumpram as leis locais e assim por diante. Um exemplo nos EUA que usei no passado é authorize.net . Alguns bancos também têm sistemas aos quais você pode se conectar para armazenar dados de cartão de crédito e processar pagamentos.
Percebo que o país em que você está pode não ter leis tão rígidas quanto os EUA, mas na minha opinião isso não é desculpa para rolar o seu próprio. Quando você está lidando com o dinheiro de outras pessoas, o risco é demais para justificar.