Nella pratica , viola il DSS. Nella teoria , potrebbe non esserlo, ma questa è pedanteria piuttosto che realtà.
I requisiti DSS 3.4 ([crittografano] i dati PAN in memoria) e 4.1 (crittografano i dati PAN attraverso le reti pubbliche) sono generalmente violati dalla posta SMTP. Ogni mail hop è un gateway store-and-forward che scrive la posta su disco anche se solo temporaneamente; a meno che non sia crittografato, si tratta di una violazione 3.4. Ogni connessione di posta elettronica crittografata con TLS è accettabile per il 4.1 ... ma un commerciante non può garantire che il tuo sistema o i sistemi tra te e loro utilizzeranno TLS, in modo tale da non passare mai un controllo.
Sebbene sia teoricamente possibile avere un percorso completamente crittografato (ogni server di posta con disco crittografato e tutte le connessioni di rete protette con TLS), è improbabile e non applicabile per le e-mail basate su Internet. Quindi, no, l'invio di dati tramite posta elettronica viola lo standard PCI DSS e non dovresti chiedere a un commerciante di farlo, e non dovresti farlo se ti chiedono di farlo.
(Ancora accade . PCI non è strutturato per rendere più facile per i titolari della carta lamentarsi delle pratiche dei commercianti con cui si occupano. Rifiutare e passare a un altro commerciante è probabilmente la soluzione migliore .)