En práctica , viola el DSS. En teoría , posiblemente no, pero eso es pedantry en lugar de realidad.
Los
DSS Requirements 3.4 ([Cifrar] datos PAN almacenados) y 4.1 (Cifrar datos PAN a través de redes públicas) generalmente son violados por correo SMTP. Cada salto de correo es una puerta de enlace de almacenamiento y reenvío que escribe el correo en el disco aunque solo sea temporalmente; a menos que esté encriptado, eso es una violación 3.4. Cada conexión de correo cifrada con TLS está bien en 4.1 ... pero un comerciante no puede garantizar que su sistema o los sistemas entre usted y ellos usarán TLS, por lo que nunca pasaría una auditoría.
Si bien es teóricamente posible tener una ruta totalmente encriptada (cada servidor de correo con disco encriptado y todas las conexiones de red protegidas con TLS), es improbable e inaplicable para el correo electrónico basado en Internet. Entonces, no, el envío de datos de la tarjeta por correo electrónico infringe el PCI DSS, y usted no debe pedirle a un comerciante que le pida que lo haga, y no debe hacerlo si se lo piden.
(Todavía sucede . Y PCI no está estructurado para facilitar que los titulares de tarjetas se quejen de las prácticas de los comerciantes con los que tratan. Rehusarse y mudarse a otro comerciante es probablemente su mejor opción .)