Если вам действительно (действительно) нужно хранить номера карт, вы попадаете в самый строгий уровень соответствия PCI.Это требует ежегодного аудита на месте, ежеквартального сканирования сети и (как вы, возможно, уже знаете) будет очень дорогостоящим.Это независимо от количества транзакций.(Старые первые проекты PCI давали разные уровни в зависимости от количества обработанных карт. Это уже не так)
Если вы можете использовать стороннюю систему для хранения / обработки повторяющегося биллинга, вы переходите на более низкуюуровень, который требует только, чтобы вы заполняли вопросник самооценки (SAQ) ежегодно.Большинство поставщиков платежных услуг смогут помочь с регулярным выставлением счетов, если вы обсудите с ними ваши требования.Повторное выставление счетов (как вы знаете) имеет дополнительные сложности в том, что срок действия карт может истечь / быть прекращен / заменен в середине цикла
Если вы сомневаетесь, то сейчас самое время начать говорить с QSA (Квалифицированный оценщик безопасности).Если вы обсудите свою ситуацию по телефону, они смогут сообщить, где именно вы стоите.В конечном итоге, если вы не обратитесь к стороннему поставщику платежных услуг, вам потребуется QSA, чтобы помочь привести вашу организацию в соответствие PCI.