Como dice otra respuesta, ya que tiene un nivel de visibilidad deliberada de los PAN, debe cumplir con los requisitos de PCI.
Hay excepciones estructurales, como los ISP no tienen que presentar informes sobre el cumplimiento de los PAN que transitan por el cable, ya que esos PAN son responsabilidad de los clientes del ISP. Pero la pregunta describe un escenario claro de acuñación e intercambio de PAN, por lo que se le puede mostrar que es responsable y debe mantener una práctica de cumplimiento.
El nivel de cumplimiento depende de la cantidad de transacciones en las que participe, lo que en su caso, dado que parece ver el PAN en cada transacción del titular de la tarjeta, podría ser considerable. También hay una diferencia importante en los requisitos de cumplimiento que depende de si está "almacenando" los PAN "en reposo" o simplemente trabajando con ellos "en tránsito", ya que estos últimos implican menos requisitos.
Parece que deberías poder cumplir con las condiciones de tránsito, sin embargo, puedes encontrarte fácilmente con una arquitectura en reposo si haces cosas simples como "PAN" temporalmente en caché en un redis.
Todo lo dicho, tengo curiosidad por una cosa, con quién necesitas tener esta relación de cumplimiento. Debe ser a través del banco adquirente que respalda al emisor de su tarjeta (si no son ellos mismos un banco) y su contrato con el emisor debe contener el lenguaje a tal efecto. Si no es así, si ya está en este negocio y actualmente no sabe a quién o con quién necesita enviar un RoC o similar, es posible que haya creado una gran responsabilidad para usted.
PCI es fundamentalmente solo un conjunto de contratos comerciales, no una regulación gubernamental como HIPAA. Si participa en la acuñación e intercambio de PAN y algo sale mal y no tiene disposiciones contractuales ni protecciones al respecto, o seguro que lo cubra, aparecerá una demanda que lo sacará del negocio.
Le aconsejaría leer primero el lenguaje de su acuerdo con su emisor, tiene que haber algo allí.