La conformità PCI non è un'assicurazione.
Non è una vera misura di protezione.
Riassumo il valore della conformità PCI nella mia nota legge omonima, Legge di conformità di AviD :
PCI compliance reduces the risk of the penalties of non-compliance.
In altre parole, un po 'come il pagamento delle tasse è un requisito, ma non ti dà necessariamente diritto a nessun beneficio governativo specifico: hai per essere conforme. E se non lo sei, dovrà pagare una multa. Ma questo non aiuta necessariamente a prevenire le violazioni o rispondere a loro ...
Come ho risposto in Applicabilità della scansione di vulnerabilità per PCI DSS , la conformità non riguarda la sicurezza.
Come le altre risposte citate, è necessario implementare i controlli di sicurezza e le funzionalità di sicurezza a parte dalla conformità. Se vieni violato, hai ancora conseguenze da questo.
Tuttavia, essere conforme in caso di violazione significa che non riceverai una multa di non conformità. (Vedi la legge di AviD sopra ...) Dovrai pagare qualsiasi altro costo, come danni e costi di riparazione, ma almeno non ci sarà una multa (beh, almeno non da PCI - altre leggi e regolamenti potrebbero applicare).