L'invio di informazioni sulla carta di credito via e-mail viola lo standard PCI DSS?

Sì, requisito 4.2 DSS PCI:

Never send unprotected PANs by end-user messaging technologies (for example, e-mail, instant messaging, chat, etc.).

A meno che l'email non sia in qualche modo crittografata, non ti è consentito utilizzarla per inviare dati ai titolari di carta.

Nella pratica , viola il DSS. Nella teoria , potrebbe non esserlo, ma questa è pedanteria piuttosto che realtà.

I requisiti DSS 3.4 ([crittografano] i dati PAN in memoria) e 4.1 (crittografano i dati PAN attraverso le reti pubbliche) sono generalmente violati dalla posta SMTP. Ogni mail hop è un gateway store-and-forward che scrive la posta su disco anche se solo temporaneamente; a meno che non sia crittografato, si tratta di una violazione 3.4. Ogni connessione di posta elettronica crittografata con TLS è accettabile per il 4.1 ... ma un commerciante non può garantire che il tuo sistema o i sistemi tra te e loro utilizzeranno TLS, in modo tale da non passare mai un controllo.

Sebbene sia teoricamente possibile avere un percorso completamente crittografato (ogni server di posta con disco crittografato e tutte le connessioni di rete protette con TLS), è improbabile e non applicabile per le e-mail basate su Internet. Quindi, no, l'invio di dati tramite posta elettronica viola lo standard PCI DSS e non dovresti chiedere a un commerciante di farlo, e non dovresti farlo se ti chiedono di farlo.

(Ancora accade . PCI non è strutturato per rendere più facile per i titolari della carta lamentarsi delle pratiche dei commercianti con cui si occupano. Rifiutare e passare a un altro commerciante è probabilmente la soluzione migliore .)