Dudo que encuentre una definición específica de almacenamiento desde el PCI DSS, ya que hay tantas maneras diferentes de percibir cuándo se "almacenan" los datos. Una encuesta rápida de otros 3 QSA a mi alrededor no podría llegar a un consenso de inmediato si BizTalk solo almacena información si está sobrecargada o incluso cuando está funcionando normalmente. Los archivos de caché, etc. pueden desempeñar un papel, incluso si normalmente no lo ve o no lo espera.
Una cosa en la que todos estamos de acuerdo es que, en última instancia, no importa en su escenario en función de la información que proporcionó. PCI DSS se aplica a todos los sistemas si procesa, transmite o almacena datos de titulares de tarjetas. Claramente, BizTalk se utiliza para procesar y transmitir información como mínimo. Si el sistema tiene el potencial de almacenar información cuando está sobrecargado, debe ser considerado y deben implementarse todos los controles aplicables para salvaguardar la información del titular de la tarjeta.