Нужно начать с основного:
(1) Ваша система должна соответствовать требованиям PCI DSS v2.0 —
pcidss.ru/files/pub/pdf/pcidss_v2.0_russian.pdf
(2) CardHolder + Valid Thru — можно хранить, но требует защиты, CVV2 запрещено сохранять!
делайте все по стандарту — тогда и не будет проблем, они достаточно просты и понятно описаны в соответствующих докумнетах
(3) Если букинг.ком отправляет эти данные (1) по факсу (2) в открытом виде — то они ЯВНО нарушают требования PCI DSS и их за это ждут санкции
(4) Да — нужен обязательно — рекомендую брать один из 2 — (1) VeriSign или (2) TrustWave — у обоих есть сертификат для «PCI DSS Compliance»
(5) Купить — но потребуют официальные реквизиты организации
(6) По сложности одинаково — только разная стоимость
(7) Для этого есть стандарты
Шифрование данных — ANSI X9/ISO — AES или TDES
Управление ключами — ANS X9.24/ISO 11568 или SCD ANS X9.97/ISO 13491
PRGN — NIST SP800-22, NIST SP800-90A
Распространение ключей — X9/TR-34 Part1
Криптостойкость — ISO TR-147442
(8) Да, но не забывайте что для платежных данных Вы должны использовать отдельную БД и к ней должен быть мандатный доступ
Для Вас было бы проще принимать оплату через платежный шлюз (например Stripe.com) — т.к. чтобы принимать эти данные на своем сайте — нужно соответствовать значительному числу требований.
