Se memorizzi il PAN (numero di carta), deve essere assolutamente crittografato.
Se memorizzi il nome del titolare della carta, la data di scadenza, il numero di emissione (e possono essere collegati al PAN), allora dovrebbero essere crittografato, ma (a quanto ho capito) non è assolutamente necessario. PCI-DSS afferma solo che almeno il PAN deve essere crittografato.
Il codice CV2/AVS/CSC non può essere memorizzato dopo l'autorizzazione e, idealmente, vorresti dimostrare che non è stato memorizzato affatto (ad es. conservato in memoria solo durante l'esecuzione dell'autorizzazione)
Per quanto riguarda certificati/chiavi, puoi utilizzare solo una chiave per la crittografia di tutti i dati relativi alla carta. La procedura consigliata consiste nel non utilizzare le chiavi per più scopi, quindi se disponi di altri dati (non relativi alla carta) crittografati, utilizza una chiave separata per questo.
La parte più difficile è quella che non hai menzionato in dettaglio - e questa è la gestione delle chiavi. Per soddisfare i requisiti PCI, la chiave deve essere archiviata in una scatola fisica separata nel database ed è necessaria la possibilità di modificare la chiave almeno una volta all'anno. SQL 2008 supporta questo con Extensible Key Management (EKM)
Tutti questi punti sono discussi al meglio con un QSA (Qualified Security Assessor) indipendente che a un certo punto dovrai coinvolgere a prescindere per soddisfare la conformità PCI. Il tuo QSA sarà in grado di guidarti su domande come questa e, in definitiva, è il suo consiglio che dovresti seguire per soddisfare la conformità.
Vale la pena ricordare che la maggior parte delle persone si rende presto conto di quanto possa essere onerosa la conformità PCI e cerca di ridurre al minimo tale onere utilizzando un gateway di pagamento di terze parti. La maggior parte dei gateway di pagamento ti consentirà di eseguire l'autorizzazione/regolamento e di memorizzare i dettagli della carta sui loro server (già conformi allo standard PCI). Quindi devi solo memorizzare un TokenId che faccia riferimento a quei dettagli di pagamento se dovessi eseguire ulteriori addebiti/rimborsi su quella carta.
Buona fortuna in ogni caso!