Да на шифрованном диске даже PCI-DSS не требует 
Но вообще там 4 категории, определяемые по "насколько будет жопа если данные утекут", причем определяет это видимо "эксперт" посмотрев на потолок - никаких конкретных критериев нет. Как всегда все через жопу =) Но конечно по уму интернет магаз это самая слабая категория (или вообще никакая). А там по сути ничего такого и не надо кроме как определить список лиц, которые имеют доступ к этой инфе и этот доступ регламентировать.
Но вообще там 4 категории, определяемые по "насколько будет жопа если данные утекут", причем определяет это видимо "эксперт" посмотрев на потолок - никаких конкретных критериев нет. Как всегда все через жопу =) Но конечно по уму интернет магаз это самая слабая категория (или вообще никакая). А там по сути ничего такого и не надо кроме как определить список лиц, которые имеют доступ к этой инфе и этот доступ регламентировать.