The thing about my credit card: it has the credit card number and the CCV on the same side.
Is that legally even allowed?
O armazenamento do campo CVV após a autorização (em qualquer formato, criptografado ou não) não é permitido pelo Padrão de segurança de dados do setor de cartões de pagamento.
Sensitive authentication data must never be stored after authorization – even if this data is encrypted.
[...]
• Never store the card-validation code or value (three- or four-digit number printed on the front or back of a payment card used to validate card-not-present transactions).
Veja esta ficha informativa .
Além disso, a digitalização do cartão parece suscitar outras preocupações sobre a segurança física dos computadores nos quais as imagens estão armazenadas e a segurança técnica em vigor nesse computador, bem como a habilitação e treinamento da equipe autorizada acessar o computador; mas talvez seja possível que o comerciante esteja reclamando com o PCI-DSS a esse respeito.
Um comerciante que violar o PCI-DSS poderá ser multado pelo adquirente ou perder o acesso à rede de cartões, dependendo do acordo de comerciante.
Em alguns lugares e em alguns estados dos EUA, a conformidade com o PCI-DSS é legalmente exigida. Mas não acho que seja necessário em Nova York. Outras leis locais podem impor disposições semelhantes ao PCI-DSS.
Nos seus sapatos, eu reclamaria com o emissor do meu cartão de crédito, com base no fato de que o emissor está fazendo negócios com um comerciante inquestionável e fiquei desapontado que a alta reputação da rede de cartões tenha sido prejudicada por sua associação com esse comerciante .