Если вам нужно задать этот вопрос, значит, вы уже нарушаете соответствие PCI.Информация о кредитной карте ваших клиентов никогда не должна касаться вашего сервера в зашифрованном или ином виде.Большинство платежных шлюзов обрабатывают это для вас.Существует очень мало причин, по которым вам следует делать это самостоятельно.
Если вам делать необходимо справиться с этим самостоятельно, и очень мало случаев, когда вы делаете это, просто симметрично шифруя информацию картыв вашем приложении нет способа сделать это.Буквально любой, кто может загрузить ваше приложение, может расшифровать информацию о кредитных картах других клиентов.
Правильный подход заключается в передаче информации о карте на ваш сервер, защищенный с помощью TLS, с последующим шифрованием и хранением ключевой информации на стороне сервера HSM.Если вы не можете справиться с этим, то вы не соответствует требованиям PCI и будете нести юридическую ответственность.
Если ваш бизнес работает или предоставляет услуги клиентам в ЕС, то вы можете пострадать очень большие штрафы за плохую обработку информации о кредитной карте потребителя.