Есть такая тема, как штрафы за несоблюдение требований сертификации PCI-DSS. Не уверен, насколько это касается вашего приложения, но лучше бы вам ознакомиться с этим вопросом, потому что штрафы там очень большие. И еще вопрос, код ведь написан другим человеком? Вы утверждаете, что там ничего никуда не отправляется (кроме неких первых цифр), но где гарантия что это действительно так, если код писали не вы?
Есть такая тема, как штрафы за несоблюдение требований сертификации PCI-DSS. Не уверен, насколько это касается вашего приложения, но лучше бы вам ознакомиться с этим вопросом, потому что штрафы там очень большие. И еще вопрос, код ведь написан другим человеком? Вы утверждаете, что там ничего никуда не отправляется (кроме неких первых цифр), но где гарантия что это действительно так, если код писали не вы?