从技术上讲，根据 PCI SSC，您可以保留 CVV 和其他敏感的身份验证数据，直到授权发生。换句话说，对存储敏感认证数据的限制适用于后认证/处理存储。这是来自 PCI SSC 的关于数据存储要求的文档。请参阅“PCI 数据存储技术指南”表。该表的脚注 2 指出：

授权后不得存储敏感的身份验证数据（即使已加密）。

作为 QSA，我的建议是，从业务角度来看，预授权存储时间需要合理。我还希望它在技术上尽可能短。如果您的数据流与您所在行业的其他人相似，并且他们在处理付款时最多不存储敏感数据超过几秒钟，那么我希望您也是如此。

您需要与 QSA 交谈。

您不得存储 CVV。但是，偶然存储可能会作为批准的交易流程的一部分发生，如果 QSA 认为是可以接受的。否则，不可能在批量交易中使用 CVV。

你将无法做到这一点——你需要找到另一种方法。

如果内存服务于 PCI DSS 框架，则还指出您不能完整地以明文形式存储信用卡号（或其他 PAN）。您需要混淆收据上显示的中间数字，因此您需要确保您的脚本也允许您这样做。

正如gowenfawr回答的那样，您可能不会存储 CVV 编号。CVV号码的目的是证明持卡人持有该卡，而不是授权交易。如果商家能够获得 CVV 编号，则它会拒绝消费者成功退款未经授权的交易的能力，因为信用卡公司将拒绝退款。

这个问题最流行的答案不是正确的答案。 CVV 号码的唯一存储位置是信用卡本身。