Cara sinceramente não pensei e nem penso em guardar dados, eu faria algo que seria somente pagamento e boa.
Respondendo a "Em geral estas APIs de pagamento funcionam assi..." dentro da publicação [DÚVIDA]Sobre pagamentos e segurança
1
1
Um mínimo de dados você deve guardar, por exemplo os pedidos associado ao email, endereço da pessoa por exemplo. Isso precisa estar seguro e cumprir as exigências da LGPD.
Obvio que na prática, uma empresa pequena, um site pequeno, dificilmente será fiscalizado.
Mas o que puder fazer para ja ir se enquadrando, acho valido.