Kompenzační kontrola může být zvažována, pokud subjekt nemůže splnit požadavek přesně tak, jak je stanoven, a to z důvodu legitimních technických nebo zdokumentovaných provozních překážek, dostatečně však zmírnil riziko spojené s požadavkem zavedením jiných kontrolních prvků. Kompenzační kontrola musí:

1) Splňovat smysl a vyhovovat náročnosti původního požadavku PCI DSS
2) Poskytovat obdobnou úroveň ochrany jako původní požadavek PCI DSS
3) Být „nad a za” dalšími požadavky PCI DSS (nejen ve shodě s ostatními požadavky PCI DSS)
4) Být úměrná dodatečnému riziku způsobenému nedodržení požadavku PCI DSS. Viz Kompenzační kontrola, Přílohy B a C v Požadavcích a procedurách bezpečnostního hodnocení PCI DSS – informace o využití kompenzační kontroly.