Para o Java processar o cartão sem que ele passe na Internet ou no seu back-end descriptografado, a criptografia precisaria ser implementada em Java no browser do cliente. Por algum motivo você não quer usar JavaScript, e que antigamente o que se fazia para rodar Java em browser era rodar como applet...