実務において、Web決済に関わったことが全くありませんので、この記事は結構参考になりました。
クレジットカードの取り扱いについては、国際的なセキュリティ標準であるPCI DSSっちゅうのがあるそうです。
https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php
日本国内でも、経産省と日本クレジット協会が策定した、上記に準ずる“実行計画”があって、2013年3月を期限と定めているそうです。
http://www.j-credit.or.jp/info_management.html
PCI DSSに準じていない状況で、クレジットカードに関する情報を漏洩した場合、カード会社などから損害賠償を請求されることもあるそうです。
なんにしても、Web決済ではお金が実際に動きますから、それ相応の覚悟がなければ始められませんね。