Opa Diego, depende do motivo de estarem armazenando, se for pra fazer apenas acompanhar a quantidade de transações de um cartão específico, ou pra logs, etc, eles só guardam um hash do número do cartão e acompanham com base nisso (mas o hash é feito com base em uma chave criptográfica pra ser mais seguro), se for para fazer transações recorrentes, aí é necessário poder reverter a criptografia, então n pode ser um hash e aí eles armazenam em um banco de dados criptografado.

A parte tecnológica em si não tem nada de especial, é como qualquer outro dado sensível (precisa ser mascarado em logs, encriptado "at rest" e "in transit" e garantir que somente pessoas e serviços altorizadas tenham acesso). Onde fica realmente complicado é que é preciso comprovar em auditoria que você possui tudo isso implementado, aí você precisa passar em uma auditoria de uma empresa autorizada pelo PCI