PCI DSS besteht primär aus sinnvollen Best Practices, wenn man mit sensiblen Informationen arbeitet. Dennoch hat er keinen guten Ruf. Er kann Prozesse verkomplizieren, er fordert Investitionen und kostet in Augen vieler Verantwortlicher erst einmal Geld. Aber wo würde die Industrie ohne den Standard stehen? Ich vermute ohne PCI DSS wäre die Zahlung per Kreditkarte im Internet nicht so weit verbreitet. Keine Endkunde würde mehr der Kreditkarte als Online-Zahlungsmittel vertrauen, wenn er regelmäßig von seinem Issuer eine neue Karte erhalten würde, nachdem die vorherige kompromittiert wurde.
Der Standard scheint sein Ziel der Vertraulichkeit von Karteninhaberdaten gut zu erreichen: So wurden erst kürzlich bei Vodafone personenbezogene Daten gestohlen, auch Kontodaten. Aber keine Kreditkartendaten.
Der PCI DSS benötigt ein besseres Image.