（披露，我为 Stripe 的竞争对手 Braintree 工作）

在 Braintree，我们还允许在我们的 API 中传递 CVV 代码。您是正确的，PCI-DSS 明确禁止非发行者存储 CVV。您可以在等待授权授权期间暂时保留代码。这在 PCI-DSS 要求 3.2 中有说明（其他格式是我自己的）：

3.2授权后不要存储敏感的认证数据（即使是加密的）。如果收到敏感的身份验证数据，则在完成授权过程后使所有数据不可恢复。

它继续将敏感数据定义为包括 CVV：

敏感的认证数据由完整的磁道数据、卡验证码或值以及 PIN 数据组成。禁止授权后存储敏感认证数据！这些数据对恶意个人非常有价值，因为它允许他们生成伪造的支付卡并创建欺诈交易。

这意味着服务提供商和商家可以获取 CVV 值，他们只是不能将其存储在他们的数据库中以备将来使用。

在您正在查看的 API 中，创建新的受保管信用卡，CVV 用于在卡上运行验证。验证是一种授权类型，可确保帐户处于活动状态并且能够在我们存储之前对其进行收费。验证返回后，我们丢弃 CVV。这使我们能够向商家发出警告，即他们的客户刚刚添加的卡在下次使用时会失效。