Артем Гартунг, это вообще отдельный вопрос.
- в переменных окружения
- на всяких конфиг-серверах. (как по мне - лучшее решение) Например, https://www.vaultproject.io/
- в конфиг-файлах с ограниченным доступом
- в переменных на сборочных конвеерах (так-себе решение, имхо)
- в бд, кстати, тоже можно, но тоже с ограничением по доступу
Надо понимать,что код, как правило, храниться в гите, а это не самое надежное место для чувствительной информации.
Лучше хранить отдельным файлом подальше от кода.
И вытаскивать только в тот момент когда оно нужно.
Хотя-бы в отдельной папке с определенными правами или отдельной базе данных, все сохранение будет.
Свою клиентскую часть платежной системы делаешь как отдельный микросервис со своим локальным API и используешь на более подготовленном серверном окружении с точки зрения безопасности.