支付卡行业数据安全标准广泛用于金融行业，从潜在客户的角度来看似乎是一项有用的要求（另请参阅PCI 合规性是否真的降低了风险并提高了安全性？）。但正如PCI DSS 是否适用于支付卡以外的其他解决方案中所述？它专注于保护诸如信用卡号（“主帐号”）之类的东西。

是否有标准和相关的服务器认证更适合于例如保存各种非财务敏感个人信息的网站（例如社交网站）、政府或军事网站，或进行私人或公开选举的网站？

更新：澄清一下，我知道该站点上的许多其他问题涉及更通用的指南列表，这些指南列表对 IT 部门和开发人员解决他们自己站点的安全性时很有用，而我并不是在寻找更多这些。我是从局外人的角度提出这个问题的——潜在客户、依赖方或网站合作伙伴，我正在寻找客户可能要求遵守的标准。理想情况下，该标准会附带一些相对正式的概念，即谁有资格判断是否符合该标准。我想知道要求 PCI-DSS 是否适用于我提到的任何类型的网站，假设它们实际上不处理任何财务“主要帐号”。

我也同情这样一种观点，即答案可能只是“否” ——为一般案例建立可证明规则的努力只是采取了错误的方法，而且这些标准只对某些非常特定类型的网站有意义。在这种情况下，指向证据或经过深思熟虑的意见会有所帮助。

这个问题是本周的 IT 安全问题。
阅读 2011 年 11 月 11 日的博客文章了解更多详情或提交您自己的本周问题。