Quindi le banche sono conosciute come "emittenti" in PCI DSS, nella sezione 3.2 di PCI DSS si può notare nella guida
Entities that issue payment cards or that perform or support issuing services will often create and control sensitive authentication data as part of the issuing function. It is allowable for companies that perform, facilitate, or support issuing services to store sensitive authentication data ONLY IF they have a legitimate business need to store such data.
Inoltre afferma che,
For non-issuing entities, retaining sensitive authentication data post-authorization is not permitted.
Perché emettono le carte, sono permessi.
Per rispondere alla tua seconda domanda, se hai bisogno del codice CVV per autenticare un pagamento ricorrente, la tokenizzazione è generalmente come aggirare il bisogno del CVV. Invia le informazioni di pagamento al processore, ti restituiscono un token che rappresenta le informazioni, che possono poi essere utilizzate in un secondo momento per inviare un pagamento con le loro credenziali di pagamento, ma non contengono alcuna informazione reale del cliente e possono essere archiviate in modo sicuro. Ciò ti consente di inviare il pagamento senza CVV per i pagamenti ricorrenti.