是的，PCI DSS 要求 4.2：

切勿通过最终用户消息传递技术（例如，电子邮件、即时消息传递、聊天等）发送未受保护的 PAN。

除非电子邮件以某种方式加密，否则您不得使用它来发送持卡人数据。

在实践中，它违反了 DSS。从理论上讲，它可能不会，但那是迂腐而不是现实。

SMTP 邮件通常违反 DSS 要求 3.4（[加密] PAN 数据在存储中）和 4.1（加密跨公共网络的 PAN 数据）。每个邮件跃点都是一个存储转发网关，即使只是临时将邮件写入磁盘；除非它被加密，否则违反 3.4。每个使用 TLS 加密的邮件连接在 4.1 中都可以……但商家不能保证您的系统或您与他们之间的系统将使用 TLS，因此永远不会通过审核。

虽然理论上可以有一个完全加密的路径（每个邮件服务器都有加密的磁盘和所有受 TLS 保护的网络连接），但对于基于 Internet 的电子邮件来说不太可能并且无法执行。所以，不，通过电子邮件发送卡数据违反了 PCI DSS，您不应该让商家要求您这样做，如果他们要求您这样做，您也不应该这样做。

（这种情况仍然会发生。而且 PCI 的结构并不能让持卡人更容易地抱怨与他们打交道的商家的做法。拒绝并转向另一个商家可能是你最好的选择。）