Уржаца.
Начать надо конечно с
ФЗ 152 и с того, что бывает за его нарушения. А если это будут граждане Евросоюза - то и GDPR придется поизучать, а там даже повеселее будет.
Хранение платежных реквизитов карт - тут
еще веселее. В вопросе по ссылке есть ссылка же на требования к сайтам платежных систем, так называемые PCI DSS, которым
придется соответствовать, чтобы их хранить.
Ну и последнее - о хранении паролей. Их не хранят
вообще. Нигде. Никто. Никогда. Хранят преобразования от паролей - хэши в самых их разнообразных формах на тот случай, если базу все-таки сольют, чтобы пароли не утекли.
Надежность хостинга тут на самом последнем месте...