- Хранение реальных изображений кредитных карт - ужасная идея.
- Получение юридической помощи
Это всего лишь минимальные рекомендации, а не жесткие быстрые правила, которые вы можетевозьмите в суд.
Как минимум необработанные данные должны быть зашифрованы.Вам лучше создать базу данных и транскрибировать данные или распознать их в обычных полях.
Я уверен, что PCI-DSS имеет руководство относительно того, какой уровень и тип шифрования необходим для защиты базы данных.
База данных лучше, потому что фактически данные живут вне досягаемости веб-сервера.Тогда PHP должен будет предоставить безопасное имя пользователя и пароль для доступа к данным, потому что он должен аутентифицироваться в базе данных.
Имя пользователя и пароль должны быть вручную введены конечным пользователем или администратором сайта для доступаданные.
Чтобы сделать его приемлемым, вам придется сделать многое, чтобы сделать его приемлемым.
Вот отправная точка.https://security.stackexchange.com/questions/59520/how-to-store-credit-card-information-for-repeated-transactions-and-still-be-pci
Задайте дополнительные вопросы в сообществе безопасности при обмене стека.