Følgende virksomheder skal overholde kravene:

     Indløsere af kreditkort (acquirers)

     Udbydere af outsourcet kreditkortbetaling (service providers)

     Kort-processorer

     Leverandører af betalingssoftware

     E-handelsbutikker med egen kreditkortbetaling (merchants) 
 
 
Alle, der har med betalingskort at gøre skal overholde reglerne, men mængden af kortdata bestemmer, hvor stor en kontrol der skal foretages.

 

Det er eksempelvis obligatorisk for e-handelsbutikker med flere end 20.000 kreditkort-transaktioner om året at få udført en kontrol, forudsat de selv håndterer betalingen.

 

E-handelsbutikker, der ikke selv håndterer betalingen, er generelt ikke underlagt sikkerhedskravene.

 

Disse sikkerhedskrav kan ikke erstattes af en revisorerklæring, som PBS tidligere har forlangt.