Я не особо в теме, но разве в случае e-commerce с оплатой картой онлайн его исполнение не переносится на IPSP/агрегатора платежей? Не, ну если не прямой мерчант-аккаунт, конечно (но в этом случае надо начать с вопроса соответствия PCI-DSS, с этим редко кто заморачивается).
Вроде там было что-то про "платежного агента".