https://www.pcisecuritystandards.org/tech/download_the_pci_dss.htm
OWASPのガイドライン参考にしろとか書かれているのね。
でもちょっと気になったのが、

すべてのWeb に面したアプリケーションは、以下のどちらかの手法を適用することで、既知
の攻撃から防護されなければならない。
・ カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特
化した組織に依頼して、一般的な脆弱性についての見直しをしてもらう。
・ Web に面したアプリケーションの手前に、アプリケーション・レイヤー・ファイアウォ
ールをインストールする。
注：この手法は2008 年6 月30 日まではベストプラクティスの一つであるが、その後は必須
要件となる。

ですな。7/1からカード決済するところは、セキュリティ監査かWAFが必須になるようだ。
これで、売れてないらしいWAFが売れるようになるのかな？