при повторной покупке не вводить данные карты
Мне кажется, потому что вы не имеет права хранить эти данные, в противном случае вы становитесь процессинговым центром (которому тоже нельзя хранить данные карт дольше минимально-необходимого срока, кстати говоря) и ваше ПО, серверное оборудование и сотрудники должны следовать стандарту PCI DSS. Так же, необходимо будет ежегодно проходить аудит и подтверждать своё соответствие стандарту PCI DSS. Игра не стоит свеч, разве что вам эту слугу не предложит кто-то. Например, MasterPass.