¿El envío de información de la tarjeta de crédito por correo electrónico infringe el PCI DSS?

Sí, requisito de PCI DSS 4.2:

  

Nunca envíe PAN sin proteger mediante tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, chat, etc.).

A menos que el correo electrónico esté cifrado de alguna manera, no se le permite usarlo para enviar datos del titular de la tarjeta.

En práctica , viola el DSS. En teoría , posiblemente no, pero eso es pedantry en lugar de realidad.

DSS Requirements 3.4 ([Cifrar] datos PAN almacenados) y 4.1 (Cifrar datos PAN a través de redes públicas) generalmente son violados por correo SMTP. Cada salto de correo es una puerta de enlace de almacenamiento y reenvío que escribe el correo en el disco aunque solo sea temporalmente; a menos que esté encriptado, eso es una violación 3.4. Cada conexión de correo cifrada con TLS está bien en 4.1 ... pero un comerciante no puede garantizar que su sistema o los sistemas entre usted y ellos usarán TLS, por lo que nunca pasaría una auditoría.

Si bien es teóricamente posible tener una ruta totalmente encriptada (cada servidor de correo con disco encriptado y todas las conexiones de red protegidas con TLS), es improbable e inaplicable para el correo electrónico basado en Internet. Entonces, no, el envío de datos de la tarjeta por correo electrónico infringe el PCI DSS, y usted no debe pedirle a un comerciante que le pida que lo haga, y no debe hacerlo si se lo piden.

(Todavía sucede . Y PCI no está estructurado para facilitar que los titulares de tarjetas se quejen de las prácticas de los comerciantes con los que tratan. Rehusarse y mudarse a otro comerciante es probablemente su mejor opción .)