Parere spassionato, lascia stare !
Se implementi una soluzione di pagamento interna, ergo acquisisci dati di carte di credito (anche solo di passaggio) che poi invii tramite opportune api al gestore dello strumento di pagamento, ti metti nel magico mondo del trattamento di dati personali ad alto rischio e devi essere capace di gestirli in maniera edeguata e secondo normativa e standard di riferimento.
Molto meglio come fai adesso, ovvero redirigere l'utente al gestore, farlo pagare lì e gestire l'esito della transazione (che ti comunica il gestore).
Così facendo non stai trattando i dati delle carte di credito.