Не храните информацию о кредитной карте на вашем сервере.Он должен соответствовать стандартам безопасности PCI DSS:
http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
В наши дни просто нет причин для этого.Большой процент поставщиков услуг по обработке платежей предоставляют эти услуги для вас.Вы отправляете информацию и получаете обратно токен, который можно использовать для снятия средств с карты позже.
Кроме того, вам не разрешено хранить код CVV.
Я лично работаю с Paypal в качестве процессора, вам нужно запрашивать ссылочные транзакции (для этого потребуется проверка данных, возможно, кредитоспособностьсвязанных и не гарантируется быть утвержденным).Таким образом, я могу авторизовать карту (только 1 $ - это обычная и общепринятая практика), а затем списывать с нее любую подходящую сумму (в нашем случае у нас есть модель оплаты, аналогичная мобильным телефонам с оплатой по мере использования).После первого платежа или авторизации я получаю токен, который я могу использовать позднее для обвинения в «транзакции, на которую ссылаются» (по сути, просто копируя детали из оригинального txn).
Другим действительно интересным вариантом, который мы рассмотрели, был www.paysimple.com, теперь у них есть новый API, привлекательная структура ценообразования и, если память работает, все перечисленные выше функции.
Существует множество других, которые вы можете и должны исследовать.Будьте осторожны, некоторые провайдеры обработки карт не взимают плату за функциональность, описанную выше (PayPal не делает), но некоторые взимают огромные деньги за эту услугу.Смотри, это общедоступная информация на сайтах.