Tomcat задает вопрос PCI в отношении уязвимостей, присутствующих в конкретной версии, и где PAN кредитных карт хранятся где-то (независимо от того, зашифрованы они или нет, это не имеет значения) за интерфейсом, управляемым Tomcat.Если вы используете Tomcat для обслуживания веб-страниц, jsps или чего-либо подобного в сети, то вы потенциально можете использовать PCI-DSS.
Если вы посмотрите на веб-сайт Tomcat, он сообщит вамстатус как минимум версий 6 и 7 в отношении выявленных уязвимостей.
Последнее, что я слышал, для версии 6 вам нужно было как минимум 6.0.35 для соответствия.Я не уверен, какая сборка версии 7 необходима.