Является ли юридически сайт держателем платежных данных пользователя зависит от выбора "технологии".
Если коротко дело в соответствии PCI DSS - платежный сервис либо дает вам эту форму через iframe и тогда к вам особо вопросов не будет. Либо поля размещаются на вашем сайте, у вас появляется больше обязательств, а еще выбор платежных сервисов которые дают такую услугу небольшой.
Вы через какой платежный сервис собрались это делать?
например если ваша компания из России и вы хотите сделать форму ввода данных карты на своем сайте читайте
https://developers.cloudpayments.ru/#trebovaniya