Por lo tanto, los bancos se conocen como "emisores" en PCI DSS, en la sección 3.2 de PCI DSS puede anotar en la guía
Las entidades que emiten tarjetas de pago o que realizan o admiten servicios de emisión a menudo crearán y controlarán datos confidenciales de autenticación como parte de la función de emisión. Es permisible para las compañías que realizan, facilitan o admiten servicios de emisión almacenar datos confidenciales de autenticación SOLAMENTE SI tienen una necesidad comercial legítima de almacenar dichos datos.
Además dice que,
Para entidades no emisoras, no se permite retener la autorización posterior de los datos de autenticación confidenciales.
Debido a que emiten tarjetas, están permitidas.
Para responder a su segunda pregunta, si necesita el código CVV para autenticar un pago recurrente, la tokenización es generalmente la forma de evitar el CVV. Usted envía la información de pago al procesador, le devuelven un token que representa la información, que luego se puede usar para enviar un pago con sus credenciales de pago, pero no contiene ninguna información real del cliente y se puede almacenar de forma segura. Esto le permite enviar pagos sin el CVV para pagos recurrentes.