Если в боте будет необходимо вводить полный номер карты + срок действия и cvv - вы нарушаете PCI DSS.
Это можно обойти, используя такие APIшники, при которых клиент уже зарегистрирован на сайте поставщика API (напр. на PayPal). Тогда посредством API будут отправляться не реквизиты карты, грубо говоря, а логин или иная инфа о юзере.
