¿Qué tan seguras son las cookies para la aplicación de pago?

Recientemente, comenzamos a trabajar en una aplicación de pago móvil.

No estamos buscando una manera de implementar la función "Recordarme". Nos preguntamos si deberíamos usar cookies de sesión, JWT o tal vez otro método para recordar al usuario. Nuestras preguntas son

• ¿Es seguro implementar una funcionalidad para recordar al usuario en las aplicaciones de pago?
• ¿Cómo lo harías? ¿Cuánto tiempo debe ser el tiempo de caducidad?

También vale la pena señalar que nos gustaría mantener siempre al usuario conectado en nuestra aplicación móvil (de todos modos, se requerirá un PIN antes de cada pago)