Я бы добавил, что вы просто не должны хранить их, если у вас нет действительно очень веских причин, и хранить их в cookie - это действительно плохая идея - они просто слишком легко достать (что случится, если кто-то украдет печенье - тогда не имеет значения, насколько оно зашифровано).
Если вам нужно сделать повторные платежи, большинство провайдеров CC предложат способ сделать это, сохранив какой-то токен из первоначального платежа, не сохраняя номер карты вообще (вы можете просто сохранить последние 4 цифры для отображения клиенту, чтобы он знал, какая карта хранится).
Действительно, просто не делай этого!
Кроме того, вы никогда не должны хранить код CCV.