Según esta cita de la sección de "aplicabilidad" de PCI DSS, no lo es:
El número de cuenta principal es el factor definitorio en la aplicabilidad de los requisitos de PCI DSS. PCI DSS los requisitos son aplicables si un El número de cuenta principal (PAN) es almacenado, procesado, o transmitido. Si PAN no se almacena, procesa o transmitido, los requisitos de PCI DSS hacen no se aplica.
¿Pero significa que no es aplicable en absoluto? ¿O simplemente que no estoy obligado a cumplir estos requisitos? Si quiero que mi solución (aplicación) sea segura (= para que sea reconocida como segura por grandes empresas), ¿debo implementar los requisitos de todos modos o debo invertir mi tiempo en algún otro conjunto de recomendaciones? En otras palabras, ¿el cumplimiento de PCI me otorgaría algo de crédito al vender una aplicación que no tiene que ver con tarjetas de pago o hay algún otro estándar más genérico?