问第4级组织的PCI DSS法规

EN

我们是一家小公司，每年处理少于500次信用卡交易，所以我们属于四级商户。公司负责人希望确保我们在各个层次上都符合PCI标准。我看到我们正在将信用卡数据存储在我们的一个数据库中，但是PAN号码是在几年前最初开发时使用RC2加密的。我仍然觉得RC2加密很容易受到攻击，尽管我们使用SSL连接来传输数据。

我有几件事在我的脑海中，如下。

1. 标记化
2. 从我们的数据库中删除卡片数据，只向支付网关发送详细信息。
3. 加密卡数据的安全密钥存储。

我曾向业界查询，他们说删除卡资料的方案2是可以的，因为他们不需要储存资料，但由于有一些经常性的交易，我的问题是，如果删除储值卡，会否影响？

如果我使用保护用于解密数据的密钥的选项3，我看到在实现商业密钥管理系统等方面需要遵循许多过程。

你能建议什么是最好的方式来绕过这一问题，并服从。