Málokdo rád zadává čísla platebních karet při placení na webu. Pokud se číslo karty, platnost a CVC ukládaly jako běžné formulářové údaje, mohl by se k nim snadno dostat kdokoliv, kdo by měl přístup k datům daného uživatele v počítači. Proto nyní v rámci W3C vzniká standard (nyní je ve stavu editorského draftu) Payment Request API, který tento problém řeší.
Někdy se ukládání řeší na straně serveru, které ale také není příliš bezpečné – zvlášť pokud je to server nepříliš známého internetového obchodu, o jehož bezpečnostní politice není nic známo. V ČR tato situace příliš nenastává, protože se čísla ukládají, resp. vůbec zadávají, do webových rozhraní bank a provozovatelů platebních služeb; obchody se k nim nedostanou.
Způsob ukládání údajů o kartách (a také dodací adresy) se podobá již používanému způsobu ukládání hesel. Již ho implementují prohlížeče Google Chrome/Chromium (od mobilní verze 53 a desktopové verze 61) a Microsoft Edge (po registraci do služby Microsoft Wallet). Zásadní věcí je, že s poskytovatelem platebních služeb komunikuje přímo prohlížeč, ne webová stránka.
Ovšem bezpečnostní specialista Lukasz Olejnik objevil dva problémy, které standard provázejí. Jednak je to možnost fingerprintingu prohlížečů (identifikace podle jejich „otisku“ přes toto API), zadruhé možnost detekovat v Chrome anonymní režim. První problém je řešitelný na úrovni specifikace, případně implementace, druhý byl již nahlášen vývojářům jako chyba.
