Chan, hasta donde sé, eso no es legal.
Si entiendes, leete los terminos y condiciones de 2checkout, creo que por ahi decia que eso no se podia hacer (no esta permitido por las emisoras de tarjetas, ya que eso aumetaría el fraude increiblemente, dado que muchas personas puedan tener los datos de tarjetas de muchas otras obtenidos y/o almacenados de maneras no seguras)

Seria legal si:
1) El cliente ingresa la informacion en tu sitio, el cual tiene un certificado SSL legal y con garantia valida por los montos de transacciones que realizas.
2) Una vez el cliente hace la compra en tu sitio seguro, tu sitio web se contacta con un gateway (ahi ya queda afuera 2co, ya que no lo es en realidad ...) utilizando un metodo de encryptacion de los datos (asi funciona Authorize net y otros), y asi envia los datos de tarjeta inclusive el CVV2.
3) El CVV2 no puede ser almacenado en NINGUN LADO, por lo cual, si la carga debe hacerse recurrente, el Gateway ha enviado un código o algo al form, que deberá enviar cada vez que quiera hacer otro cargo en esa tarjeta ... de esta forma se asegura que ese IP o Server es donde el cliente mismo haya ingresado la informacion junto con su CVV2.

Y finalmente bueno ... no creo que mucha gente ingrese la información de su tarjeta en cualquier form ... 2checkout, paypal, etc. ya son conocidos y de buena reputacion, es por eso que la gente le confia ... pero no sé hasta donde confiarían si fuera un form cualquiera (yo no lo haria....)

Saludos.