Se você estiver hospedando informações de cartão de crédito para uma transação que sua empresa de processamento tenha regras, siga as instruções que determinam como o número do cartão é tratado; Pelo que entendi, o número não é mais mantido do que o absolutamente necessário e nunca é revelado a ninguém, como Micheal disse. Você pode ser responsabilizado se o número for interceptado ou roubado porque você permitiu que ele fosse transferido ou mantido (ou roubado) em texto não criptografado. Em geral, você NÃO QUER NÚMERO de cartão de crédito do consumidor por causa da responsabilidade que pode incorrer e outras dificuldades legais se violar as regras de como lidar com o número.
Se eu entendi a pergunta corretamente, você pode considerar seriamente pagar a hospedagem por conta própria e faturar o cliente em nome do provedor ou encontrar uma maneira de hospedá-lo de maneira que você não tenha acesso ao número ( depende das opções do provedor de hospedagem disponíveis) ou configura uma maneira para o cliente automaticamente retirar o pagamento de uma conta dedicada de seu banco automaticamente ou algo assim, algo que limita sua responsabilidade caso o número do cartão seja roubado. Se algo esquisito acontece com o cartão de crédito e você teve acesso a ele (ou alguém invadiu sua conta e obteve acesso), você se torna o suspeito número um.
Pessoalmente, acho estranho que o provedor permita que o número do cartão de crédito seja totalmente exibido. Todo lugar que eu usei mostrará os últimos dígitos e pronto, caso aconteça alguma coisa em que alguém tenha acesso à conta.