L'unica regola di cui sono a conoscenza (ed è solo un regolamento del marchio della carta di credito per commercianti e fornitori di software) è che non è necessario memorizzare la password in database o file in forma non crittografata. Ad esempio, il nostro software è stato recentemente sottoposto alla certificazione PA-DSS 2.0 e abbiamo crittografato le password utilizzando la crittografia SHA-1 con un salt unico per ogni hash delle password. Inoltre, è necessario crittografare le password durante la trasmissione (ad esempio da Client a Server). Almeno negli Stati Uniti, il governo è rimasto fuori dai principali mandati di software come questo, a meno che non incida sui beni del governo come computer o software usati dai militari.
Per quanto riguarda la memorizzazione della chiave, ci sono regole speciali anche per questo. Tasto a 3 cifre? Troppo piccolo. Per ulteriori informazioni su come è possibile aderire allo standard PA-DSS 2.0, leggi qui: link