Esta es una pregunta muy amplia, pero intentaré responderla lo mejor posible. Primero, como se ha mencionado en los comentarios, vea si puede diseñar alrededor del problema. Eso significa ver si puede encontrar una manera de hacer que su aplicación funcione sin necesidad de contar con el número de cuenta o la información del código de clasificación.
Si eso no es posible, vea si puede encontrar un tercero que pueda almacenar esa información por usted. Tokenization de pago es tu amigo. Deje que alguien más se encargue de la seguridad / responsabilidad. Tenga en cuenta que aún puede tener alguna responsabilidad en virtud de las leyes aplicables.
Si eso no es posible, su último recurso es almacenar la información usted mismo. Esto es sub-óptimo en el mejor de los casos. Asegúrese de que su aplicación implementa SSL correctamente. Asegúrese de que los datos estén correctamente encriptados mientras están en reposo. Su aplicación debe ser debidamente probada para la penetración. Asegúrese de tener el control de seguridad adecuado en su lugar. También debe tener un plan de respuesta a incidentes en su lugar. Deberá asegurarse de cumplir con la legislación aplicable.