保存自体はしなきゃいかんよね
通常の手順で閲覧できるのが間違いだが、混同してるな

決済するときは消費者がカード番号入力するんだから、それを保存せずに決済代行会社のシステムに投げるだけじゃん
消費者に何度もカード番号を入力させたくないなら、決済代行会社にカード番号を預けてそれを再利用するような仕組みを使えばいい
自前でカード決済のサブシステム作る（真面目にやると億円ぐらい行く）にしても、フロントのアプリケーションサーバにカード番号を保存する必要もないし、
カード番号を参照できる必要もないでしょ

JINSの時も書きましたが
通常は都度入力であれば保存などせず、そのままリクエストに載せるだけです。
注文履歴などで出したいだけならトランザクションデータにマスクした値を保存すればいいのです。
入力を省いた再取引であっても通常は決済代行外出の持つデータベースと突合するための識別子を保存するだけです。
これだけ流出が取り沙汰される現在においてフロントエンドでカード番号などの重要情報を保存するのは
極めて異例です。
…異例なのですが現実には本件のようにマスクも暗号かもなく保存しているサイトは少なからず存在します。
名前は出せませんがそれなりに流行っている大手ECですらやっているとこもあります。
その事実を知っているので私はネット決済ではよほど信用のおける（実装を知っている）システムでない限りカード決済は使用しません。