Самый простой пример. Требуется хранить в базе данных номера кредитных карт. В случае утечки этой базы будет полный П.

Ок. Храним данные карт в зашифрованном виде. Ключом шифрования например будет пароль пользователя или его производная.
Пароль хранится в базе в виде хэша, поэтому просто так вытащить его из базы и расшифровать данные карт не получится.

Какие best practice по хранению зашифрованной информации на сервере и расшифровке на клиенте (браузере)?

При этом, в памяти сервера будут в любом случае появляться данные в расшифрованном виде. Т.е. сняв дамп памяти, можно откопать там данные. Но для этого нужен рутовый доступ к серверу.