ça existe déjà pour les cartes bancaires, ça s’appelle le PCI-DSS / PA-DSS