Non puoi trovare nulla su PCI per i controlli, perché non li copre. PCI sta per "Payment Card Industry" - alias, carte di credito (e carte di debito con un logo cardbrand). Il PCI Council (che ha fissato gli standard) non potrebbe importare di meno di garantire qualsiasi altra forma di pagamento (contanti, assegni, vaglia postali, ecc.). Anche i sistemi simili a carte di credito (buoni regalo, carte di credito emesse da negozi, ecc.) Non sono coperti ufficialmente, anche se hanno una striscia magnetica.
Detto questo, è buona pratica seguire gli standard PCI per altre forme di pagamento, dal momento che sono progettati per la sicurezza. Se per caso perdi informazioni sui pagamenti dei tuoi clienti, a chi pensi che incolperanno?
Al posto del PCI, l'industria ACH è coperta dalle NACHA Operating Rules , che puoi anche finanziare riepilogati qui . Da quello che posso dire, le sezioni rilevanti sono 1.6 (Requisiti di sicurezza) e 1.7 (Trasmissione sicura di informazioni ACH tramite reti elettroniche non protette). Insieme, comprendono meno di una pagina di testo. Non riesco a copiarli qui, ma 1.6 in pratica dice "Devi avere politiche in atto per proteggere questi dati". senza specificare alcun requisito specifico.
Tutto sommato, la richiesta potrebbe del cliente essere perfettamente valida in un modo che non sarebbe per i dati della carta. Non è una buona idea, ma è valida.