se come dici
i dati delle carte saranno memorizzati in modo criptato
, ferme restando le altre misure di sicurezza, non ci sono problemi... in pratica non devi memorizzare i numeri in chiaro, ma appunto con una criptazione (a una via): per la verifica si dovrà reinserire il numero e verrà effettuato il confronto con quanto già memorizzato (come succede normalmente anche con le password). In questo caso anche riuscendo a ottenere i dati presenti nel db si avrebbe un elenco di codici inutilizzabili. Potresti semplicemente usare una qualche variante dell'md5 per esempio.