Le banche conservano i dati della carta di credito in testo semplice?

(Alcuni presupposti qui per la mancanza di riferimenti)

Secondo questa pagina Visa , issuing e acquisendo le banche sono soggette al PCI DSS:

All entities that store, process, or/and transmit cardholder data, such as merchants, service providers (e.g. payment gateways, IPSP, processors), issuers and acquirers, must comply with the PCI DSS

In quanto tali, devono mantenere le copie del PAN crittografate. Possono memorizzare la data di scadenza e il nome del titolare della carta in chiaro.

IlDSSproibiscelamemorizzazione(criptataononcriptata)delCVV;tuttavia,perdefinizione,labancaemittentedeveconoscereilCVVperconvalidarlo.Ciòsignificachelomemorizzanooloricalcolano( secondo questo eccellente link che @WhiteWinterWolf fornito nei commenti). Non mi sorprenderebbe se ci fosse qualche eccezione per consentire alla banca emittente di memorizzare il CVV, probabilmente crittografato (è probabilmente più sicuro memorizzare molti valori derivati piuttosto che esporre la chiave ad un uso costante) ma che è pura speculazione .

Aggiornamento: @ dave_thompson_085 ha sottolineato nei commenti che il DSS PCI consente esplicitamente agli emittenti di memorizzare il CVV come DSS sezione 3.2:

It is permissible for issuers and companies that support issuing services to store sensitive authentication data if:

• There is a business justification and
• The data is stored securely.

D'altra parte, penso che sia giusto presumere che la banca acquirente non sia autorizzata a memorizzare il CVV delle carte che elabora. Non vi è alcun driver aziendale per questo e sarebbe fuori linea con l'approccio altrimenti draconiano del DSS alla gestione del CVV.