Prima di tutto SSL senza certificato non è possibile, non tentare di eseguire il rollover della tua sicurezza perché fallirai. Potresti pensare "hey, come non sapresti che in realtà sono un ottimo esperto di crittografia", perché non faresti dichiarazioni del genere.
PCI-DSS è obbligatorio solo se stai elaborando i dati della carta di credito. Ciò significa che se si accettano e si memorizzano i dati della carta di credito, è necessario essere conformi allo standard PCI-DSS. Cosa succede se non sei conforme?
Bene secondo questo riferimento :
If you do not meet the PCI standards for compliance and the security
of your site gets compromised, you will be facing penalties and fines
ranging from $5,000 to $500,000. The fines, however, are just the
beginning of the overall damage caused by noncompliance.
If your website or company are not PCI compliant, you run the risk of
losing your merchant account, which means you won’t be able to accept
credit card payments at all. You will also be placed in the
Visa/MasterCard Terminated Merchant File (TMF), making you ineligible
to obtain another merchant account, at least for several years. The
TMF, is essentially a BLACKLIST from which it is almost impossible to
be removed.
When a merchant is added to the TMF, sometimes called The Match File,
their name, business name, business address, and home address are all
noted. So, you can’t just apply for a new account under the name of
another family member or business partner because it will be seen as
the same business and location.
Getting on The Match File is just about the worst thing that can
happen to any merchant.
Ora, mentre leggi, c'è una multa, solo FYI la multa arriva ontop di tutte le accuse fraudolente (di cui sarai ritenuto responsabile anche).
Se stai pensando, "come posso fare affari se non posso accettare le carte di credito?" semplicemente utilizzando un gateway di pagamento come Paypal che si prende cura di tutti i pagamenti (e quindi toglie anche la necessità di essere conforme PCI-DSS).