Caveat: IANAQSA, e questo è più congetture del solito.
Utilizzando la logica che ho usato in questa risposta , la risposta sembra essere no, in quanto non sei "coinvolto nell'elaborazione delle carte di pagamento".
Tuttavia , nel tuo commento alla risposta di @ bobince tu affermi che il tuo client " sta dicendo che dobbiamo essere conformi allo standard PCI-DSS. Possono rivendicare tale? " Bene, se sono soggetti a PCI DSS, allora si. È in linea con ( v3 ) 12.8.2:
Maintain a written agreement that includes an acknowledgement that
the service providers are responsible for the security of cardholder
data the service providers possess or otherwise store, process or
transmit on behalf of the customer, or to the extent that they could
impact the security of the customer’s cardholder data environment.
e 12.8.4:
Maintain a program to monitor service providers’ PCI DSS compliance
status at least annually
Ora, sembra che tu sia un fornitore di applicazioni piuttosto che un fornitore di servizi. E anche se non sei una "domanda di pagamento" di per sé, questa guida probabilmente si applica:
PCI DSS may apply to payment application vendors if the vendor stores,
processes, or transmits cardholder data, or has access to their
customers’ cardholder data (for example, in the role of a service
provider).
C'è un precedente che dice, in sostanza: non devi mantenere la conformità DSS. Ma se non lo fai, l'onere di dimostrare la conformità dell'app ricade sul tuo cliente. Per questo motivo, i clienti spesso richiedono che i fornitori di applicazioni mantengano la conformità DSS, di solito scegliendo di non fare affari con fornitori che non lo faranno.