#1 Técnicamente si está bien implementado no se guardan los datos de la tarjeta de crédito, sino la autorización de la empresa que emite la tarjeta (visa, mastercard, etc) que suele ser un código o hash
Llevo mas de 15 años implementando todo tipo de pasarelas de pagos internacionales, de diferentes emisores, paises y desde hace bastantes años es lo mas común.
Otra cosa es que air europa se haya pasado por el forro todas las estandarizaciones o sigan usando un sistema del año catapúm
#25 Hay diferentes tipos de transacciones, unicas, recurrentes, esporadicas. Dependiendo del tipo se sigue un flujo u otro, y se guardan ciertos datos, pero nunca los datos reales de las tarjetas. Así tu cuando tienes que operar para cancelar, reembolsar parcialmente o realizar cargos extra se usa un tipo de transaccion u otra