El problema de "enviar" la tarjeta al comerciante es un poco complicado. Se le puede permitir al titular de la tarjeta "enviar" la tarjeta de manera que el comerciante no pueda aceptar.
El cumplimiento de los requisitos de PCI es parte de la relación contractual que un comerciante establece con un banco, llamado adquirente, para poder aceptar pagos con tarjeta de crédito.
Los requisitos de PCI incluyen el lenguaje sobre los PAN "en reposo" (almacenamiento) y "en tránsito" (transmisión). Las formas en que un comerciante permite a los clientes proporcionar su número de tarjeta de crédito están sujetos a los requisitos de PCI tanto en reposo como en tránsito.
IOW, PCI determina cómo un comerciante puede aceptar tarjetas de pago legítimamente.
Para el titular de la tarjeta: tienen un acuerdo con su banco, llamado "emisor", el banco que les ofrece una línea de crédito y les envía una tarjeta por correo. En lo más profundo de los términos de servicio contractuales que el titular de la tarjeta acepta con el emisor, se encuentra el texto sobre cómo mantener en secreto el número de la tarjeta.
Las reglas del lado del comerciante son mucho más estrictas que las del lado del titular de la tarjeta, por razones que tienen que ver con el riesgo, la escala y el modelo de negocio.
En términos prácticos, por ejemplo, un comerciante no puede anunciar que acepta números de tarjeta por correo electrónico, ya que el correo electrónico es un protocolo que no cumple con PCI. Si un comerciante recibe un número de tarjeta en un correo electrónico, tiene que eliminar ese correo electrónico de sus sistemas de correo electrónico. Los auditores de PCI preguntan sobre flujos de trabajo como este en sus revisiones.
La última vez que miré, los acuerdos con el titular de la tarjeta no prohibían expresamente el envío de un número de tarjeta por correo electrónico, aunque eso puede haber cambiado, pero en general las reglas son mucho menos explícitas, y es bastante raro que el emisor de la tarjeta revoque una tarjeta de un tarjetahabiente por razones que no impliquen gastos fraudulentos o falta de pago. El uso indebido ocasional de un número de tarjeta por parte del titular de la tarjeta, lo que lleva a una tarjeta de reemplazo es un flujo de trabajo estándar para los emisores.