(Editado para reflejar la incertidumbre sobre la situación exacta)
Nota: no es un QSA, solo tiene algo de experiencia con PCI
PCI DSS es un estándar establecido por las compañías de pago: VISA, MasterCard y el resto. En general, no tiene la fuerza de las regulaciones gubernamentales (aunque algunas leyes estatales, en mi opinión, la consultan, consulte a su abogado local). Más bien, las Compañías de Pago requieren que cumpla con el PCI (si necesita ser certificado varía según su situación) cuando tenga una relación con ellos (directa o indirectamente) para procesar las tarjetas. La forma en que pueden obligarte a cumplir es, de nuevo directa o indirectamente, evitar que proceses las tarjetas si no lo haces.
Si no está procesando tarjetas, si es puramente cliente, si no tiene esta relación con ellos (o una relación con un proveedor de servicios de procesamiento de tarjetas que tiene una relación con ellos), no pueden exigirle que cumpla con ello.
Sin embargo, dicho esto, el PCI DSS es un BUEN estándar: debe hacer al menos lo que dice si está manejando números de tarjetas de crédito (PAN) en lo que respecta a la seguridad. Además, los PAN se consideran información de identificación personal (PII) para casi todos los estatutos de PII que conozco. Eso significa que si maneja números de tarjetas de crédito, debe cumplir con todas las reglas de PII. Nuevamente, sus estatutos locales pueden aplicarse aquí (al igual que los estatutos locales de sus clientes ...)
Si usted es comerciante y proporciona la aplicación, debe cumplir con PCI si va a recordar / almacenar números de tarjetas de crédito, incluso del lado del cliente. Si no es un comerciante, es probable que aún deba hacerlo, pero es posible que no tenga que hacerlo legalmente. Fuzzy.