PCI 合规性不是保险。
这不是真正的保护措施。

我在我著名的同名法律AviD 合规法中总结了 PCI 合规的价值：

PCI 合规性降低了违规处罚的风险。

换句话说，就像纳税是一项要求一样，但并不一定让您有权享受任何特定的政府福利——您必须遵守规定。如果你不这样做，你将不得不支付罚款。但这并不一定有助于防止违规或应对违规行为......

正如我在PCI DSS 的漏洞扫描适用性中回答的那样，合规性与安全性无关。
正如此处提到的其他答案，除了合规性之外，您还需要实施安全控制和安全功能。如果您遭到破坏，您仍然会受到影响。

但是，在违规情况下保持合规确实意味着您不会受到违规罚款。（请参阅上面的 AviD 法律...）您需要支付任何其他费用，例如损坏和维修费用，但至少不会被罚款（好吧，至少不是来自 PCI - 其他法律和法规可能申请）。

请注意，获得 QSA 的合规性签名并不一定意味着您遵守 PCI。

虽然您需要证明 PCI 合规性，但您最好专注于正确控制，这既可以保护您，又可以使您处于通过 PCI 的有利位置。

是的，如果你被黑客入侵，你仍然会承担所有预期的成本。

是的，即使您符合 PCI 标准，您也需要为这些查询付费。但符合 PCI 标准也意味着您遭遇此类违规行为的可能性要小得多。

考虑条带化——那么你就没有信用卡数据可以破解了，你只需要担心黑客会收到你的购物者电子邮件并通过电子邮件向所有人发送他们的卡数据已被泄露的那种违规行为（事实上它没有） .

即便如此，你也会被罚款，因为你允许电子邮件列表被黑客入侵，并为整个 PCI 行业赢得了坏名声。

您认为“即使我符合 PCI 标准”也会被罚款的论点是不公平的——这听起来像是您无意参与这里讨论的真正想法——负责确保持卡人数据的安全。