Es werden keinerlei Kreditkarten Daten auf dem eigenen Server gespeichert, der Server kommt mit den KK Daten nicht einmal in Berührung. Die Daten werden sicher per token an den Stripeserver gegeben und verschlüsselt. Bei Stripe gibt es nur zwei Varianten:
Entweder die sichere Methode über Stripe.js oder über den sicheren Stripe eigenen Checkout.
Bzgl. der Speicherung der KK Daten:
Die KK Daten sind natürlich bei Stripe - logisch. Bei Stripe wird dann ja auch ein entsprechender Kunde in deinem Dashboard angelegt. Bestätigt der Kunde also nun, dass seine Daten gespeichert werden sollen, dann geschieht das bei Stripe und hat nichts mit deinen Server zu tun.
Bzgl. deiner Bedenken wegen JS:
Stripe.js makes it easy to collect credit card—and other similarly sensitive—details without having the information touch your server.
Oder auch hier:
No sensitive data hits your servers, saving you weeks of security headaches.
Scroll hier mal nach ganz unten, da stehen auch noch ein paar Sachen, auch über die PCI Zertifizierung
Allerdings würde ich dennoch sagen:
Wegen Stripe würde ich mir bzgl. Sicherheit keinerlei Bedenken machen. Aber:
Was wäre bspw. wenn ein Kunden Konto geknackt wird von deinem Shopware Shop, oder deine Datenbank auf deinen eigenen Server und man kann sich eine Kopie deines Shops ziehen oder sonstiges. Dann könnte natürlich der böse Mann sich mit den Shopware Kunden Daten einloggen und etwas mit einer bereits gespeicherten Kreditkarte bezahlen. Möglich ist natürlich immer alles. Aber ich glaube zu wissen, dass auch selbst Amazon & Co die KK Daten für spätere Einkäufe speichert.
Eine Option die Speicherung der KK Daten zu deaktivieren im Plugin halte ich schon auch für sinnvoll.