Realmente suena como que necesitas un auditor para aclarar las cosas. Parece que tiene la impresión de que si no almacena números CC, entonces el cumplimiento de PCI es fácil o directo. Realmente no es así. El nivel del comerciante no cambia los requisitos de PCI. El nivel simplemente cambia su probabilidad de obtener una auditoría o de que se le solicite que un QSA realice una auditoría de vez en cuando.
El almacenamiento de números de tarjetas de crédito no es incompatible, solo debe cumplir con todos los requisitos (sección 3.4 IIRC). El cifrado de números de tarjeta (PAN - número de cuenta principal) es en realidad solo una parte pequeña, aunque complicada (debido a la administración de claves), que cumple con PCI. Todos los demás requisitos siguen siendo válidos incluso si solo toma el PAN y lo pasa de inmediato a un tercero compatible. Si el PAN toca su RAM por un nanosegundo, entonces ese sistema, su software, su red, etc. están todos dentro del alcance de PCI.
Si es , de lo contrario, es compatible con PCI, entonces no debería ser difícil acordar con su auditor una exención para algunos de los almacenamientos de PAN por un tiempo limitado. Mueva la base de datos a otro servidor, use el cifrado de disco completo y alguien guarde e ingrese las claves. Algo así podría ser suficiente para obtener una exención por unas pocas semanas mientras cambia al nuevo sistema.