Em geral estas APIs de pagamento funcionam assim: você gera uma cobrança, que retorna um link no qual você vai redirecionar seu usuário. Após isso você recebe uma chamada webhook da API que vai lhe informar o status do pagamento.
Nesse tipo de operação, não é guardado nenhum dado sensível.
Há também outro tipo de operação que é quando você quer guardar o cartão de crédito para uso futuro ou cobranças recorrentes.
Nessa operação, você envia para a API da empresa de pagamentos os dados do cartão do cliente diretamente do front-end. Essa requisição não deve passar pela sua API, ou seja, você não deve ter visibilidade destes dados. A API então retorna o cartão de forma tokenizada. Esta token você (e só você) pode usar para efetuar cobranças, e você pode armazenar essa informação no seu banco de dados.
Como essa token é ligada a sua conta, caso essa informação vaze, ela será inútil para outras pessoas.
De toda forma, você precisa sempre ter cuidado com a segurança, pois além do pagamento, as informações pessoais e dados sensíveis são protegidas pela LGPD:
De acordo com a LGPD, dado pessoal é a informação relacionada à pessoa natural identificada – tais como nome, sobrenome, RG e CPF – ou identificável, como no caso dos dados de geolocalização (GPS), endereço IP, identificação de dispositivo etc.
Adicionalmente, a Lei traz o conceito de dado pessoal sensível, que diz respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.