Sembra davvero che tu abbia bisogno di un auditor per sistemare le cose. Sembra che tu abbia l'impressione che se non archivi i numeri CC, la conformità PCI è facile o immediata. Non è davvero così. Il livello del commerciante non modifica i requisiti PCI. Il livello cambia semplicemente le tue possibilità di ottenere un controllo o di essere tenuto ad avere un QSA eseguire un controllo ogni tanto.
La memorizzazione dei numeri di carta di credito non è non conforme, è sufficiente soddisfare tutti i requisiti (sezione 3.4 IIRC). La crittografia dei numeri di tessera (PAN - numero di conto principale) è in realtà solo una piccola, anche se complicata (a causa della gestione delle chiavi), parte della conformità PCI. Tutti gli altri requisiti si applicano anche se si prende solo il PAN e lo si passa immediatamente a una terza parte conforme. Se il PAN tocca la tua RAM per un nanosecondo, allora quel sistema, il suo software, la rete, ecc. Sono tutti nell'ambito PCI.
Se sei altrimenti conforme allo standard PCI, ottenere una deroga per parte dello storage PAN per un tempo limitato non dovrebbe essere difficile da organizzare con il tuo auditor. Spostare il database su un altro server, utilizzare la crittografia del disco intero e far archiviare e immettere le chiavi da qualcuno. Qualcosa del genere potrebbe essere sufficiente per ottenere un'esenzione per alcune settimane mentre passi al nuovo sistema.