Тот факт, что ваш клиент на самом деле не выполняет транзакции, не влияет на их обязательство по соблюдению, поскольку PCI / DSS применяется в той же степени к хранилищу данных карты, что и к обработке транзакций, фактически если они классифицируются как «поставщик услуг»«Есть дополнительные обязательства.
В зависимости от ваших отношений с вашим клиентом и от того, как вы классифицируете свое программное обеспечение (услуга / готовый продукт и т. д.), у вас также могут быть дополнительные обязательства по PA-DSS которая ориентирована на разработчиков программного обеспечения для оплаты (включая просто хранилище) и может стать довольно хардкорной, если вы продаете что-то, разработанное для совместимости с PCI.
Если вы просматриваете копию V2 в спецификации перечислены все требования, 6.6 объясняет, что нужно делать, например, с общедоступными веб-приложениями («независимый» анализ кода или брандмауэр приложений).