Jika Anda menyimpan PAN (nomor kartu) maka itu mutlak harus dienkripsi.
Jika Anda menyimpan nama pemegang kartu, tanggal kedaluwarsa, nomor penerbitan (dan dapat ditautkan ke PAN), maka mereka harus dienkripsi, tetapi (pemahaman saya) adalah bahwa itu tidak mutlak diperlukan. PCI-DSS hanya menyatakan bahwa minimal PAN harus dienkripsi.
Kode CV2/AVS/CSC tidak dapat disimpan setelah otorisasi, dan idealnya Anda ingin membuktikan bahwa kode tersebut tidak disimpan sama sekali (misalnya - hanya disimpan di memori saat melakukan otorisasi)
Mengenai sertifikat/kunci - Anda bisa menggunakan satu kunci untuk enkripsi semua data terkait kartu. Praktik terbaik adalah tidak menggunakan kunci untuk berbagai tujuan, jadi jika Anda memiliki data lain (tidak terkait kartu) yang dienkripsi, gunakan kunci terpisah untuk itu.
Bagian yang paling sulit adalah bagian yang belum Anda sebutkan secara rinci - dan itu adalah manajemen kunci. Untuk memenuhi persyaratan PCI, kunci harus disimpan pada kotak fisik terpisah ke database, dan Anda memerlukan kemampuan untuk mengubah kunci setidaknya setiap tahun. SQL 2008 mendukung ini dengan Extensible Key Management (EKM)
Semua poin ini sebaiknya didiskusikan dengan QSA (Qualified Security Assesor) independen yang pada titik tertentu perlu Anda libatkan terlepas dari untuk memenuhi kepatuhan PCI. QSA Anda akan dapat memandu Anda tentang pertanyaan seperti ini, dan pada akhirnya merupakan sarannya yang harus Anda ikuti untuk memenuhi kepatuhan.
Patut disebutkan bahwa kebanyakan orang segera menyadari betapa besar beban kepatuhan PCI, dan berupaya meminimalkan beban itu dengan menggunakan gateway pembayaran pihak ketiga. Sebagian besar gateway pembayaran memungkinkan Anda melakukan otorisasi/penyelesaian dan menyimpan detail kartu di server mereka (yang sudah sesuai dengan PCI). Anda hanya perlu menyimpan TokenId yang merujuk pada detail pembayaran tersebut jika Anda perlu melakukan tagihan/pengembalian dana lebih lanjut pada kartu tersebut.
Semoga berhasil!
