10年ほど前に関わったチケットのECサイトで，決済方法の１つのVISAだったかJCBだったかがPCI DSS必須と言い出して対応したことがあった．
　PCI DSSだと決済にかかわるクエリを投げるだけであって，個人情報はECサイト側では保持しないから，個人情報漏洩事故が発生しないし何か事故があった場合クレカ側が責任とるというものだったという覚えがある．

　でもいまは，それでも安心できないようだ．というかPCI DSSは非保持とは関係なかったのか．勘違いしてたな．

攻撃の認識すら不可能　Webサイトを静かに狙う「Magecart」攻撃の実態
https://www.itmedia.co.jp/news/articles/2008/28/news015.html

　んー．自分のところの改竄だと検知できるかもしれないけれど，他人様の庭は見えても家の中までは見せてもらえないから，何が起きているか分からないね．