Por lo que entiendo de la aplicabilidad de PCI-DSS 3 (PDF) , si lo rechaza activamente ( es decir, no acepte los datos de la tarjeta de crédito por correo electrónico), su sistema de correo electrónico no se considera parte de CDE
o Cardholder Data Environment
. Parece que tiene que ser muy estricto con esto: 100% de cumplimiento, o su sistema de correo electrónico ahora es parte de su CDE y tiene que mantener el cumplimiento de PCI-DSS.
Le recomendaría que instituya una política para descartar correos electrónicos que contengan datos de tarjetas de crédito y cree un correo electrónico nuevo para el cliente como lo está haciendo usted. La diferencia aquí es que absolutamente no puede aceptar datos de tarjetas de crédito a través de correo electrónico y utilizar esos datos para la verificación o el procesamiento de pagos . Tenga políticas para los agentes de servicio al cliente que establezcan que no pueden solicitar datos de la tarjeta por correo electrónico o solicitar que se devuelvan por correo electrónico, incluso como un archivo adjunto. Si es posible, pondría un filtro en su correo electrónico entrante que busca patrones de números CC (comienza con 4, 5 o 6; 16 dígitos, se pueden dividir en 3 o 4 grupos ...), y elimina el CC info.
Tenga en cuenta que no soy un profesional de PCI, pero he estado sujeto a él durante varios años. Siempre es mejor jugar de forma segura considerando la responsabilidad, aunque si no permite el uso de información de tarjetas de crédito enviadas por correo electrónico, su responsabilidad disminuiría significativamente.