PCI огромен, и неправильное его использование может разрушить бизнес, поэтому лучше всего найти эксперта.
Тем не менее, вот мои мысли: если все данные просто необходимо зашифровать, чтобы открыть их могла только сторонняя организация, используйте хорошую криптосистему с открытым ключом для сохранения данных. (Достаточно прочитать документацию, чтобы убедиться, что библиотека шифрует данные с помощью ключа сеанса и шифрует ключ сеанса с помощью открытого ключа удаленной стороны. Вы никогда не захотите шифровать данные с помощью открытый ключ, только сеансовые ключи .)
Если все данные необходимо хранить с ключом для каждого пользователя, вы можете сделать это тоже, но Kerberos был разработан специально для того, чтобы избежать криптосистем с открытым ключом - они приложили огромные усилия для создания чего-то почти похожего, используя только симметричные шифры. Умно, но это может означать, что вы даже не можете использовать ключи, которые вы надеялись использовать (если на самом деле требуется, чтобы только внешний хранящийся ключ мог расшифровать сохраненный зашифрованный текст).
Надеюсь, это поможет.