gastrodat GmbH

Das ist laut Bedingungen der Kartenanbieter nicht zulässig und ein Verstoß gegen die Richtlinien der Kartenanbieter.

Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln, müssen die Regelungen erfüllen.
Halten sie sich nicht daran, können Strafgebühren verhängt, Einschränkungen ausgesprochen, oder ihnen letztlich die Akzeptanz von Kreditkarten untersagt werden.
Die Strafen bei Nichteinhaltung können je nach Höhe des Schadensfalles bis zu 100.000,- EUR betragen.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen an die Rechnernetze der Unternehmen:

01. Installation und Pflege einer Firewall zum Schutz der Daten
02. Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung
03. Schutz der gespeicherten Daten von Kreditkarteninhabern
04. Verschlüsselte Übertragung sensibler Daten von Kreditkarteninhabern in öffentlichen Rechnernetzen
05. Einsatz und regelmäßiges Update von Virenschutzprogrammen
06. Entwicklung und Pflege sicherer Systeme und Anwendungen
07. Einschränken von Datenzugriffen auf das Notwendige
08. Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang
09. Beschränkung des physikalischen Zugriffs auf Daten von Kreditkarteninhabern
10. Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern
11. Regelmäßige Prüfungen aller Sicherheitssysteme und -prozesse
12. Einführen und Einhalten von Richtlinien in Bezug auf Informationssicherheit

Soweit zur Rechtslage…
Da sich Ihr System nicht in einem geschützten Rechenzentrum befindet, werden Sie diese 12 Punkte auf keinen Fall einhalten können.

Außerdem sind die hier in erster Instanz angesprochenen Unternehmen die Buchungsportale, welche ihrerseits bei Weitergabe der Daten in eine ungesichterte Umgebung bereits gegen diese Bestimmung verstoßen.

Meine Empfehlung wäre also zunächst zu überprüfen, ob Sie diese Daten wirklich benötigen.
Wegen eines "nice to have" wäre nämlich hier das Risiko viel zu hoch.
Und wenn online bereits eine Anzahlung verlangt würde, bestünde auch gar kein Anlass dieses einzugehen.