¿Los bancos almacenan los datos de la tarjeta de crédito en texto sin formato?

(Algunas suposiciones aquí por la falta de referencias)

Según esta página de Visa , emitiendo y adquiriendo los bancos están sujetos al PCI DSS:

  

Todas las entidades que almacenan, procesan y / o transmiten datos del titular de la tarjeta,   tales como comerciantes, proveedores de servicios (por ejemplo, pasarelas de pago, IPSP,   procesadores), emisores y adquirentes , deben cumplir con las PCI DSS

Como tales, deben mantener las copias del PAN encriptadas. Pueden almacenar la fecha de vencimiento y el nombre del titular de la tarjeta sin cifrar.

ElDSSprohíbeelalmacenamiento(cifradoonocifrado)delaCVV;sinembargo,pordefinición,elbancoemisordebeconocerelCVVparavalidarlo.Esosignificaqueloalmacenanolorecalculan( según este excelente enlace que @WhiteWinterWolf proporcionado en los comentarios). No me sorprendería si hubiera alguna excepción para permitir que el banco emisor almacene el CVV, probablemente encriptado (es posiblemente más seguro almacenar muchos valores derivados que exponer la clave a un uso constante) pero eso es pura especulación .

Actualización: @ dave_thompson_085 señaló en los comentarios que el PCI DSS permite explícitamente a los emisores almacenar el CVV según DSS sección 3.2:

  

Está permitido para emisores y empresas que admiten emisión   Servicios para almacenar datos confidenciales de autenticación si:

     

• Hay una justificación comercial y
  
• Los datos se almacenan de forma segura.
  

Por otra parte, creo que es justo asumir que el banco adquirente no tiene permitido almacenar el CVV de las tarjetas que procesa. No hay un impulsor comercial para eso y estaría fuera de línea con el enfoque draconiano del DSS para el manejo de CVV.