Il concetto che un vps sia più sicuro di un hosting condiviso a mio avviso è opinabile, se gli ambienti di un servizio condiviso sono ben configurati ed isolati problemi non ce ne sono, al tempo stesso anche un vps dev'essere ben configurato per evitare di essere facilmente "bucabile".

Per quanto riguarda il discorso delle carte di credito, per poterle salvare sul proprio server occorre essere pci compliant, sia a livello applicativo che sistemistico. Detto questo, essendo un intervento piuttosto oneroso (ad es. Magento Enterprise è pci compliant mentre la community no), sono davvero pochi gli ecommerce che salvano i dati della carta di credito, di solito indirizzano a gateway esterni, alcuni in maniera silent, altri con un effettivo redirect, anche i nomi più conosciuti cercano di evitare questo tipo di complicazione quasi inutile.