In de praktijk schendt het de DSS. In theorie zou dat mogelijk niet kunnen, maar dat is eerder pedanterie dan realiteit.
DSS-vereisten 3.4 ([Versleutelen] PAN-gegevens in opslag) en 4.1 (Versleutel PAN-gegevens via openbare netwerken ) worden doorgaans geschonden door SMTP-mail. Elke mailhop is een store-and-forward gateway die mail naar schijf schrijft, ook al is het maar tijdelijk; tenzij het is gecodeerd, is dat een overtreding van 3.4. Elke e-mailverbinding die is gecodeerd met TLS is in orde door 4.1 ... maar een handelaar kan niet garanderen dat jouw systeem of de systemen tussen jou en hen TLS zullen gebruiken, dus dat zou nooit een audit doorstaan.
Hoewel het theoretisch mogelijk is om een volledig gecodeerd pad te hebben (elke mailserver met gecodeerde schijf en alle netwerkverbindingen beveiligd met TLS), is het onwaarschijnlijk en niet afdwingbaar voor op internet gebaseerde e-mail. Dus nee, het verzenden van kaartgegevens via e-mail is in strijd met de PCI DSS, en u zou niet moeten dat een handelaar u hierom vraagt, en u zou het niet moeten doen als zij u daarom vragen.
(Het is nog steeds gebeurt . En PCI is niet gestructureerd om het voor kaarthouders gemakkelijk te maken om te klagen over de praktijken van handelaars waarmee ze te maken hebben. Weigeren en doorgaan naar een andere handelaar is waarschijnlijk de beste keuze.)