作为 QSA，以下是我希望您处理这种情况的方式：

1. 制定严格执行的政策，规定不得通过电子邮件发送或接收卡数据。
2. 制定程序来处理包含卡数据的未经请求的电子邮件事件。这应包括安全删除违规电子邮件的过程，并通知客户如何正确传输付款信息。
3. 实施一种方法来验证是否遵循了政策和程序。这可以包括：
   • 定期扫描您的电子邮件服务器以获取信用卡数据。
   • 实施 DLP 解决方案，该解决方案将监视您的电子邮件服务器是否有违规数据，并对其进行编辑或不允许其发送或存储。

在考虑您的 PCI 评估时，上述第 3 点很重要。您的 QSA 将在评估开始时验证您的 CDE 范围。范围界定工作的一部分可能包括卡片数据发现扫描，并且在存储卡片数据时，电子邮件服务器是常见的违规者。如果 QSA 在服务器上发现卡数据，那么它将被视为 CDE 的一部分。如果您不希望它包含在评估中，这可能会导致一些问题，因此系统可能不符合 PCI 标准。这也使得很难证明您遵守自己的政策。仅一项政策不足以保护您免受 PCI 要求的影响。它也必须得到执行。

据我了解PCI-DSS 3(PDF)的适用性，如果您主动拒绝（即不通过电子邮件接受信用卡数据），则您的电子邮件系统不被视为CDE, 或Cardholder Data Environment. 听起来您必须对此非常严格 - 100% 合规，或者您的电子邮件系统现在是您的 CDE 的一部分并且必须保持 PCI-DSS 合规性。

我建议您制定一项政策来丢弃其中包含任何信用卡数据的电子邮件，并像您一样为客户创建一封新电子邮件。这里的不同之处在于，您绝对不能通过电子邮件接受信用卡数据并将该数据用于验证或处理付款。为您的客户服务代理制定政策，使其不能通过电子邮件索取卡数据或要求通过电子邮件（包括作为附件）返回卡数据。如果可能的话，我会在您收到的电子邮件中放置一个过滤器，以查找 CC 号码模式（以 4、5 或 6 开头；16 位数字，可以分成 3 或 4 组......），并删除抄送信息。

请记住，我不是 PCI 专业人士，但多年来一直受其约束。考虑到责任，最好谨慎行事，尽管如果您不允许使用通过电子邮件发送的信用卡信息，您的责任会大大降低。