PCI DSS kraven gäller endast ifall du hanterar kortnummer på något vis. Skickar du kunden vidare till en payment processor (DIBS payment window t.ex.) där själva betalningen görs externt så är det de som behöver vara certfierade.
Det framgår dåligt av de artiklar som t.ex.:
http://www.idg.se/2.1085/1.580862/sk...mot-e-handlare
men läs kommentarerna där detta debatteras.