Le banche sono autorizzate a conservare copie cartacee di tutti i dati della carta di credito (numero di conto primario, CVV, codice di scadenza, nome del titolare della carta)
(Alcuni presupposti qui per la mancanza di riferimenti)
Secondo questa pagina Visa , issuing e acquisendo le banche sono soggette al PCI DSS:
All entities that store, process, or/and transmit cardholder data, such as merchants, service providers (e.g. payment gateways, IPSP, processors), issuers and acquirers, must comply with the PCI DSS
In quanto tali, devono mantenere le copie del PAN crittografate. Possono memorizzare la data di scadenza e il nome del titolare della carta in chiaro.
IlDSSproibiscelamemorizzazione(criptataononcriptata)delCVV;tuttavia,perdefinizione,labancaemittentedeveconoscereilCVVperconvalidarlo.Ciòsignificachelomemorizzanooloricalcolano( che è pura speculazione .
Aggiornamento: @ dave_thompson_085 ha sottolineato nei commenti che il DSS PCI consente esplicitamente agli emittenti di memorizzare il CVV come DSS sezione 3.2:
It is permissible for issuers and companies that support issuing services to store sensitive authentication data if:
- There is a business justification and
- The data is stored securely.
D'altra parte, penso che sia giusto presumere che la banca acquirente non sia autorizzata a memorizzare il CVV delle carte che elabora. Non vi è alcun driver aziendale per questo e sarebbe fuori linea con l'approccio altrimenti draconiano del DSS alla gestione del CVV.
Leggi altre domande sui tag pci-dss