IANAQSA
Nel PCI DSS, "store" significa fondamentalmente "conservare una copia di, al di fuori di quelle copie che sono necessarie per la catena di elaborazione effettiva". Non è tanto il metodo di "archiviazione" come l'intento.
Quindi il SAD può essere tenuto in memoria, scritto in un database, o anche salvato in un file come componente necessario per l'elaborazione. I file di elaborazione batch sono l'esempio più ovvio di questo. Ho sentito che i QSA descrivono il periodo accettabile per questo stato di elaborazione-archiviazione come "ore, non più di 24"; ecco un snippet di Braintree che afferma che potrebbe essere attivo di oggi. Dovresti discutere della tua situazione con il tuo QSA; sono gli unici il cui parere conta.
Allo stesso modo, se si tiene il SAD in memoria dopo che non è più necessario per l'elaborazione, si sta violando la clausola "non memorizzare". È possibile, ipoteticamente, impostare una coppia di programmi per eseguire il ping-pong dei dati SAD attraverso la rete in modo che vengano sempre trasmessi; se non hai avuto bisogno di quei dati per un passaggio di elaborazione, lo stai ancora "archiviando" quando non dovresti esserlo.