Без всяких проблем вы можете хранить и обрабатывать только маску PAN.
Если вы хотите хранить полные данные карт (без cvc, cvv - это хранить никто не разрешит, даже с сертификатом) вам нужно иметь сертификат PCI DSS.
Хранить данные вы можете так же только в определенных местах - есть специализированные под это дело хостинги, но они стоят не малых денег. В России таких хостеров нет.
Прохождение сертификации огромный (простите) геморой. Во-первых это так же стоит денег (100+ т.р.), во-вторых ваше приложение будет подвергнуто атакам и проверенно на все возможные уязвимости, вы должны логировать все действия пользователей и куча всего прочего. Плюс ко всему, если вы заваливаете прохождение сертификации, то повторное прохождение так же платно.
Гуглить про pci dss
