No AppLinking, especificamente na resposta da action payment, podemos passar o token da cartão utilizado. Nesse caso tal token ficaria armazenado na base da Vtex? Podendo daí ser usando pelo e-commerce da mesma empresa, por exemplo?

Se no caso o token que comenta for o código de segurança, não, ele não é armazenado pela VTEX.

Toda futura compra necessita o seu preenchimento por questões de segurança.