Если ваш сервер может видеть эти данные, вам нужен PCI SAQ-D, конец истории.Неважно, храните ли вы его или нет, важно, чтобы тот, кто скомпрометировал ваш сервер, мог видеть его в пути.И если вы задаете этот вопрос, вы не хотите нести ответственность за все требования D.
Чтобы претендовать на SAQ-A или SAQ-A-EP, которыйявляются единственными двумя другими действительными для веб-сайтов, данные карты никогда не должны поступать на ваш сервер в удобочитаемой форме.Это может означать перенаправление пользователя на страницу, размещенную вашим платежным процессором, для ввода его данных, встраивания предоставленного им фрейма, отправки его непосредственно ему из внешнего интерфейса (например, JavaScript POST) или (возможно) шифрования его ключом, которыйтолько они могут расшифровать.
Более подробную информацию можно найти в официальном кратком документе