Como mencionado acima, não armazene informações de cartão de crédito em um banco de dados. É uma receita para problemas. Isso fará com que você faça um alvo muito atraente para hackers e, se for bem sucedido em recuperá-los, acabar com o seu negócio e potencialmente arruinar sua vida, bem como as vidas daqueles cujos números de cartão de crédito são roubados.
Dito isto, aqui estão três coisas a considerar:
1) Sua melhor aposta é usar um processador de pagamento / gateway de pagamento que ofereça faturamento recorrente. Um exemplo disso é Autorizar o faturamento recorrente automatizado Depois de configurar a assinatura, elas cobrarão automaticamente o usuário todos os meses para você automaticamente e informará os resultados da transação. Ele economiza uma tonelada de trabalho e alivia você da responsabilidade de armazenar informações do cartão de crédito.
2) Se você fizer lojas números de cartão de crédito, você deve seguir diretrizes PCI . Essas diretrizes são definidas pela indústria de cartões de pagamento e definem o que você pode e não pode fazer. Também define como as informações do cartão de crédito devem ser armazenadas. Você precisará criptografar os números de cartão de crédito e deverá, mas não é necessário, criptografar informações relacionadas (data de validade, etc). Você também será necessário para garantir que seu servidor e rede sejam seguros. Não conseguir atender a conformidade do PCI resultará em perder sua conta de comerciante e ser banida de ter uma verdadeira conta de comerciante para sempre. Isso limitaria você a usar processadores de terceiros que são menos flexíveis. Tenha em mente que as diretrizes do PCI são um bom começo, mas dificilmente um "como" quando se trata de segurança online. Seu objetivo seria exceder a recomendação (por muito).
3) Leis específicas do Estado e do país superam a conformidade do PCI. Se você sofrer um número de violação e cartão de crédito é roubado, você arrisca a acusação criminal. As leis variam de estado para o estado e estão constantemente no fluxo como os legisladores só estão apenas começando a perceber o quão sério isso é problema.
No que diz respeito à criptografia, leia sobre quais algoritmos de criptografia estão seguros e ainda não foram quebrados. blowfish é um bom começo e se você usar o PHP, o HTTP McRypt Library é recomendado ( Exemplo ).