Secondo questa citazione dalla sezione "applicabilità" di PCI DSS non è:
The primary account number is the defining factor in the applicability of PCI DSS requirements. PCI DSS requirements are applicable if a primary account number (PAN) is stored, processed, or transmitted. If PAN is not stored, processed or transmitted, PCI DSS requirements do not apply.
Ma significa che non è affatto applicabile? O solo che non sono obbligato a soddisfare questi requisiti? Se voglio che la mia soluzione (applicazione) sia sicura (= per essere riconosciuta come sicura dalle grandi imprese), dovrei comunque implementare i requisiti, o dovrei investire il mio tempo in qualche altra serie di raccomandazioni? In altre parole, la conformità PCI mi darà un certo credito quando vendo un'applicazione che non si occupa di carte di pagamento, o c'è qualche altro standard più generico?