首先，感谢您分享 Troy Hunt 的这篇非常有趣且具有启发性的帖子。至于您的问题，在进行了一些认真的 Google 搜索并咨询了 PCI DDS 专业人员之后，我能给您的最佳答案是：

如果实体合规，但客户或其他外部代理仍发现违反其中一项要求，他/她应该能够将问题报告给公司支持或联系人，因为没有直接或正式的参考或程序PCI 要求的。

换句话说：“去钓鱼”

a) PCI-DSS 是一种标准，而不是一种认证。它是提供卡支付服务的银行所要求的，它们是决定商户是否满足标准的人。

b) 您如何知道它们不符合 PCI-DSS？您可能在业务的各个领域都拥有非常差的安全性，但仍然符合标准——它仅非常狭隘地关注信用卡。

c) 由于 PCI-DSS 涉及银行与其客户之间的私人合同，他们对 PCI-DSS 的遵守与否对您的业务有何影响？

我知道强制执行合规性的唯一两种方法是通过第三方付费审计或在您的系统被 0wned 之后为时已晚。

我会将此报告给您的上级管理人员或合规官员，他们不会解决此问题，如果公司受到损害或审计（第 3 方或美联储），您至少会有您报告的书面记录。

我能给出的最佳建议是，当您发送这些电子邮件时，使用不同的密码（在您的外部帐户上）密件抄送一个外部电子邮件帐户。提醒他们，这样的错误可能会让他们损失公司，并且与经过测试的良好备份解决方案同样重要。