Técnicamente, según PCI SSC, puede conservar CVV y otros datos confidenciales de autenticación hasta que se haya producido la autorización. En otras palabras, la restricción en el almacenamiento de datos confidenciales de autenticación se aplica al almacenamiento de procesamiento / autenticación posterior.
¿Es un requisito que el CVV esté cifrado antes de la autorización?
El requisito es proteger los datos adecuadamente. Antes de la autorización, es poco probable que tenga el CVV en el disco (solo debería estar en la memoria RAM), pero si lo tiene, entonces sí debería cifrar y luego eliminar, por lo que se supone que se aplica la restricción para almacenar datos confidenciales de autenticación para publicar la autenticación / procesamiento de almacenamiento "es incorrecto.
Lea otras preguntas en las etiquetas credit-card encryption pci-dss