PCI-DSS es el estándar de la industria que se aplica a la mayoría de los sitios web comerciales que tratan transacciones financieras, por lo tanto, debería poder encontrar los protocolos exactos que exigen los PCI DSS en su documentación y puede basar su propio sistema.
Si bien entiendo su preocupación de que el desarrollador tenga acceso a datos financieros, la confianza es un tema clave aquí. La confianza a un lado de los datos financieros debe estar lo suficientemente encriptada para garantizar que, en caso de un volcado directo de la base de datos, no se filtren datos financieros de texto simple. Esto requerirá que el código fuente de su aplicación (que contenga políticas clave, etc.) o la aplicación en sí esté comprometida.
En cuanto a la prevención de phpMyAdmin y otras herramientas del acceso directo a la base de datos, simplemente puede cambiar la raíz de MySQL y otras contraseñas a través de la línea de comandos en MySQL. Esta es una forma burda, pero dejará a phpMyAdmin sin poder sincronizarse con MySQL. Cambiar el puerto predeterminado de MySQL también es una alternativa secundaria en un servidor dedicado.
Sin embargo, un enfoque más probado es el implementado por sistemas como SAP, mientras que evita que los programadores accedan directamente a la base de datos para evitar daños a la integridad de los datos almacenados. Lo hacen restringiendo las aplicaciones a un único inicio de sesión de usuario de la base de datos, cuya contraseña solo corresponde a la aplicación. Si cualquier otro usuario de la base de datos intenta acceder a los datos almacenados, el intento se registra e informa, lo que generalmente hace que cualquier garantía se considere nula.