Questa è una domanda molto ampia, ma cercherò di rispondere nel miglior modo possibile. Innanzitutto, come è stato menzionato nei commenti, vedi se riesci a progettare il problema. Ciò significa vedere se riesci a trovare un modo per far funzionare la tua applicazione senza bisogno del numero di account o delle informazioni sul codice di ordinamento.
Se ciò non è possibile, vedi se riesci a trovare una terza parte che è in grado di memorizzare tali informazioni per te. Tokenizzazione pagamento è tuo amico. Lascia che qualcun altro si occupi della sicurezza / responsabilità. Tieni presente che potresti avere ancora qualche responsabilità in base alle leggi applicabili.
Se ciò non è possibile, l'ultima risorsa è quella di memorizzare le informazioni da soli. Questo è sub-ottimale nella migliore delle ipotesi. Assicurati che l'applicazione implementa correttamente SSL. Assicurarsi che i dati siano correttamente crittografati mentre sono a riposo. La tua applicazione deve essere adeguatamente testata. Assicurati di disporre di un monitoraggio di sicurezza adeguato. Dovresti anche avere un piano di risposta agli incidenti in atto. Dovrai assicurarti di essere conforme a qualsiasi legislazione applicabile.