セキュリティコードって、普通カード会社のサイトに転送されて入力するよね?

カード番号と有効期限とセキュリティコードを保存して自動更新してたのって、
本人以外がカード情報を使って決済処理してたことになると思うんだけど…