Сколько людей, столько мнений. Аудиторы PCI о хранении PAN
Практически одновременно запущенно два сайта по PCI DSS: один от Информзащиты и второй от Digital Security .
Интересным оказалось наличие у аудиторов двух диаметрально противоположных взглядов на хранение PAN.
Если Digital Security достаточно категорично выступает против хранения PAN в открытом виде и предлагает использовать их хэш-значения, то Информзащита не видит ничего противоречащего требованиям PCI в хранении PAN в открытом виде в почтовых ящиках пользователей.
Цитировать и вырывать из контекста не хочу, лучше посмотреть оригинальные обсуждения.