Alle Unternehmen, die Kreditkarten- oder Debitkartenzahlungen akzeptieren, speichern oder verarbeiten, müssen den PCI DSS einhalten. Dies gilt für kleine Einzelhändler genauso wie für grosse multinationale Unternehmen. Je nachdem, wie viele Kartenzahlungen pro Jahr verarbeitet werden, müssen Unternehmen unterschiedliche Anforderungen erfüllen (z. B. Selbstbewertung oder externe Prüfungen).