PCI DSS มีข้อกำหนด 12 ข้อ แบ่งออกเป็น 6 ประเภท ซึ่งองค์กรต้องปฏิบัติตามเพื่อให้เป็นไปตามข้อกำหนด โดยข้อกำหนดเหล่านี้มีดังนี้.
1. สร้างและบำรุงรักษาเครือข่ายและระบบที่ปลอดภัย:· 
ติดตั้งและบำรุงรักษาการกำหนดค่าไฟร์วอลล์เพื่อปกป้องข้อมูลผู้ถือบัตร อย่าใช้รหัสผ่านเริ่มต้นหรือพารามิเตอร์ความปลอดภัย ปกป้องข้อมูลผู้ถือบัตรที่เก็บไว้ด้วยการเข้ารหัส..
2. ปกป้องข้อมูลผู้ถือบัตร:. ปกป้องข้อมูลผู้ถือบัตรระหว่างการส่งผ่านเครือข่ายสาธารณะ ใช้การเข้ารหัสที่แข็งแกร่งเพื่อปกป้องข้อมูลผู้ถือบัตร จำกัดการเข้าถึงข้อมูลผู้ถือบัตรเฉพาะเจ้าหน้าที่ที่ได้รับอนุญาตเท่านั้น..
3. รักษาโปรแกรมการจัดการช่องโหว่:. ใช้และอัปเดตซอฟต์แวร์หรือโปรแกรมป้องกันไวรัสเป็นประจำ พัฒนาและบำรุงรักษาระบบและแอพพลิเคชั่นที่ปลอดภัย..
4. ใช้มาตรการควบคุมการเข้าถึงที่แข็งแกร่ง:. จำกัดการเข้าถึงข้อมูลผู้ถือบัตรตามความจำเป็น กำหนด ID เฉพาะให้กับแต่ละคนที่สามารถเข้าถึงคอมพิวเตอร์ได้ จำกัดการเข้าถึงทางกายภาพของข้อมูลผู้ถือบัตร..
5. ตรวจสอบและทดสอบเครือข่ายเป็นประจำ:. ️ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด ️ทดสอบระบบและกระบวนการรักษาความปลอดภัยอย่างสม่ำเสมอ..
6. รักษานโยบายความปลอดภัยของข้อมูล:. รักษานโยบายที่กล่าวถึงความปลอดภัยของข้อมูลสำหรับบุคลากรทุกคน..
การปฏิบัติตามข้อกำหนดเหล่านี้เกี่ยวข้องกับการใช้การควบคุมความปลอดภัย กระบวนการ และนโยบายเฉพาะภายในองค์กร การปฏิบัติตาม PCI DSS ต้องใช้ความพยายามอย่างต่อเนื่อง และการทดสอบอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามาตรการรักษาความปลอดภัยมีประสิทธิภาพและเป็นปัจจุบันที่สุด
