SI. Pero no es tan simple:
De Información de aplicabilidad PCI-DSS 3.2 :
PCI DSS se aplica a todas las entidades involucradas en el procesamiento de tarjetas de pago, incluidos comerciantes, procesadores, adquirentes, emisores y proveedores de servicios.
PCI DSS también se aplica a todas las demás entidades que almacenan , procesan o transmiten datos del titular de la tarjeta y / o datos confidenciales de autenticación.
El número de la tarjeta (Número de cuenta principal o PAN) debe hacerse ilegible al almacenarlo, en cualquier situación. El hecho de que lo recibas encriptado no es relevante.
Una gran pregunta aquí es: ¿Qué eres? ¿Eres un comerciante? ¿Un proveedor de servicios? ¿Un proveedor de aplicaciones de pago? (este último parece poco probable, a partir de la información que proporcionó)
PCI-DSS es un estándar de seguridad. AFAIK, no es requerido por ninguna regulación gubernamental, sino por los procesadores de pagos. Entonces, si no es responsable ante un procesador de pagos, y no es algo que quiera tener para sus clientes (en el caso de que sea un proveedor de servicios), nadie lo obliga a tener la certificación PCI-DSS.
Si usted es un comerciante, entonces su procesador de pagos establece los requisitos exactos. Por ejemplo, aquí están los requisitos de Visa para sus comerciantes, con respecto al cumplimiento de PCI-DSS.
También me preguntaría si realmente necesita almacenar el PAN. ¿Para qué sirve el PAN encriptado?