Advertencia: IANAQSA, y esto es más conjeturas de lo habitual.
Usando la lógica que usé en esta respuesta , la respuesta parecería ser no, ya que no estás "involucrado en el procesamiento de la tarjeta de pago".
Sin embargo , en su comentario a la respuesta de @ bobince, usted declara que su cliente " está diciendo que debemos ser compatibles con PCI-DSS. ¿Pueden decir eso? " Bien, Si están sujetos a PCI DSS, entonces sí. Está en línea con ( v3 ) 12.8.2:
Mantener un acuerdo por escrito que incluya un reconocimiento de que
Los proveedores de servicios son responsables de la seguridad del titular de la tarjeta.
datos que los proveedores de servicios poseen o almacenan, procesan o
transmitir en nombre del cliente, o en la medida en que puedan
impactar la seguridad del entorno de datos del titular de la tarjeta del cliente.
y 12.8.4:
Mantener un programa para monitorear el cumplimiento de PCI DSS de los proveedores de servicios
estado al menos una vez al año
Ahora, parece que eres un proveedor de aplicaciones en lugar de un proveedor de servicios. Y aunque no sea una "aplicación de pago" per se, esta guía probablemente se aplique:
PCI DSS puede aplicar a proveedores de aplicaciones de pago si el proveedor almacena,
procesa, o transmite datos del titular de la tarjeta, o tiene acceso a sus
datos del titular de la tarjeta de los clientes (por ejemplo, en el rol de un servicio
proveedor).
Hay un dicho precedente que dice esencialmente: no tiene que mantener el cumplimiento de DSS. Pero si no lo hace, entonces la carga de probar el cumplimiento de la aplicación recae sobre su cliente. Por esa razón, los clientes a menudo exigen que los proveedores de aplicaciones mantengan el cumplimiento del DSS, generalmente eligiendo no hacer negocios con proveedores que no lo harán.