PCI DSS 3.2 dice: "PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios. PCI DSS también se aplica a todas las demás entidades que almacenan, procesan o transmiten al titular de la tarjeta datos y / o datos confidenciales de autenticación ".
Hay una pregunta frecuente en el sitio del SSC de PCI que pregunta si el PCI se aplica al papel con datos del titular de la tarjeta y la respuesta fue: "Sí, los requisitos de PCI DSS son aplicables si se almacena, procesa o transmite un Número de cuenta principal (PAN)" por cualquier medio, incluidos los registros en papel. Los requisitos de las PCI DSS 9.5 a 9.8 abordan específicamente la protección de los medios físicos, incluidos los registros en papel, que contienen datos del titular de la tarjeta ".
Dados esos dos juntos, parece que se aplicaría en el caso de manejar los medios de la tarjeta de plástico. Como Jeff señaló en un comentario, si no tiene un acuerdo que lo obligue contractualmente a PCI DSS, la aplicabilidad se vuelve interesante.
Al no conocer los detalles del proceso que está preguntando, lo que vería es quién envía las tarjetas a la compañía en cuestión. ¿Son un comerciante o proveedor de servicios que está obligado a ser compatible con PCI DSS? Esa compañía debería consultar 12.8, "Mantener e implementar políticas y procedimientos para administrar los proveedores de servicios con los que se comparten los datos del titular de la tarjeta, o que podrían afectar la seguridad de los datos del titular de la tarjeta, de la siguiente manera:". A esto le siguen subrequisitos que hablan sobre acuerdos escritos que reconocen responsabilidad, procesos de diligencia para entender quién tiene qué responsabilidad en diferentes requisitos, etc.
En mi experiencia con las auditorías de QSA, lo que esperaría que sucediera es que el QSA solicitaría una lista del comerciante que incluyera todas las entidades con las cuales el comerciante compartió los datos de la tarjeta en cualquier capacidad. Entonces ellos se enterrarían en eso. Si bien es posible que su empresa no tenga ninguna obligación directa, los comerciantes / proveedores de servicios con los que trabaja que tienen obligaciones podrían estar en una mala situación si tuvieran que mostrar pruebas de que sabían que usted era compatible con PCI DSS y no podían.