È un fornitore di software commerciale che vende software per l'uso negli Stati Uniti, soggetto o richiesto legalmente per implementare PCI-DSS se il loro software include una funzionalità che consentirà la raccolta e l'archiviazione delle informazioni della carta di credito, ma che non fa l'elaborazione dei pagamenti stessa come parte delle funzionalità del software?
Detto venditore di software NON avrebbe elaborato il pagamento utilizzando questo software ma semplicemente crittografando e archiviando le informazioni della carta di credito ai fini della semplificazione dell'elaborazione manuale dei pagamenti utilizzando il software di un altro fornitore. Cioè, questo ipotetico fornitore di software sta semplicemente producendo software in grado di comunicare con altri sistemi di pagamento, ma che non è un sistema di pagamento basato sul software stesso. (Ad esempio, forse comunica a Digital River o ad altri sistemi di elaborazione dei pagamenti online e memorizza le informazioni della carta di credito in un database, in forma crittografata.)