El cumplimiento de PCI no es un seguro.
No es una medida real de protección.
Resumo el valor del cumplimiento de PCI en mi conocida ley del mismo nombre, Ley de cumplimiento de AviD :
El cumplimiento con PCI reduce el riesgo de las sanciones por incumplimiento.
En otras palabras, al igual que el pago de impuestos es un requisito pero no necesariamente le da derecho a ningún beneficio gubernamental específico, usted tiene para cumplir. Y si no es así, usted tendrá que pagar una multa. Pero esto no necesariamente ayuda a prevenir violaciones o responder a ellas ...
Como respondí en aplicabilidad del escaneo de vulnerabilidad para PCI DSS , el cumplimiento no se trata de seguridad.
Como se mencionó en las otras respuestas aquí, debe implementar controles de seguridad y características seguras aparte del cumplimiento. Si te rompen, todavía tienes consecuencias de eso.
Sin embargo, ser compatible en el caso de una infracción sí significa que no recibirá una multa por incumplimiento. (Consulte la ley de AviD más arriba ...) Deberá pagar cualquier otro costo, como daños y costos de reparación, pero al menos no habrá una multa (bueno, al menos no de parte de PCI; otras leyes y regulaciones pueden aplicar).