Confermo quanto detto da Ranma2.
Anche in progetti ecommerce di media portata ( GDO nazionali ) non ho mai dovuto fornire certificazioni.
L'unica è relativa al SSL ( HTTPS ) in modo che le informazioni che viaggiano server-client siano sicure.

Magari informa il cliente dei rischi che corre a memorizzare su un proprio server dati sensibili quali quelli delle carte di credito, e se magari non gli conviene affidarsi a qualche gateway bancario o più semplicemente a Paypal.

Anche perchè il sito ecommerce può essere super protetto, ma se il server è configurato "a colabrodo", tu memorizzi le password e qualcuno entra e si prende i dati direttamente dal db.