Sì.
Un gestore di pagamenti (es. Amazon, Netflix, Thames Water, Comcast) non deve memorizzare CVV e deve mascherare il PAN (numero di carta), assumendo che siano contrattualmente vincolati a Payment Card Industry Data Security Standard (PCI-DSS) dalla loro banca.
La carta emittente , tuttavia, non ha tali restrizioni. Hanno emesso la carta e sono infine responsabili della memorizzazione sicura delle informazioni. Con ogni probabilità, i fondi della carta saranno protetti da una polizza assicurativa obbligatoria (privata o governativa), come il Financial Services Compensation Scheme (FSCS) nel Regno Unito, e la banca sarà responsabile per i danni in caso di frode della carta causata per la loro negligenza.
La legge locale, tuttavia, potrebbe ignorarla, sebbene io sia del tutto ignaro di qualsiasi legge che disciplini le pratiche di sicurezza dei dati degli istituti finanziari a questo livello di dettaglio.