Да, правильно.
Также рекомендую не сохранять данные карт пользователей на их девайсе, а использовать для этих целей метод addCard (предварительно создав через addCustomer клиента и сохранив CustomerKey). Таким образом данные клиента будут сохранены на сервере tinkoff. А у них уже реализован PCI DSS…
Можете посоветовать какой-нибудь пакет для формы ввода платежной карты?