Come un'altra risposta dice, dal momento che hai un livello di visibilità deliberata nei PAN, devi soddisfare i requisiti PCI.
Ci sono ritagli strutturali, come gli ISP che non devono presentare rapporti sulla conformità per i PAN che transitano in chiaro sui loro fili, perché questi PAN sono responsabilità dei clienti dell'ISP. Ma la domanda descrive un chiaro scenario di conio e scambio di PAN, quindi è possibile dimostrare che si assume la responsabilità e deve mantenere una pratica di conformità.
Il livello di conformità dipende dal numero di transazioni a cui partecipi, il che nel tuo caso, dal momento che sembra vedere il PAN su ogni transazione con il titolare della carta, potrebbe essere sostanziale. C'è anche una differenza sostanziale nei requisiti di conformità che dipende dal fatto che si "memorizzano" i PAN "a riposo" o semplicemente si lavora con essi "in transito", con il secondo che comporta meno requisiti.
Sembra che dovresti essere in grado di mantenere la tua conformità alle condizioni di transito, tuttavia puoi facilmente trovarti con un'architettura a riposo se fai cose semplici come "temporaneamente" i PAN della cache in un redis.
Ciò detto, sono curioso di sapere una cosa: con chi hai bisogno di avere questo rapporto di conformità. Dovrebbe avvenire attraverso la banca acquirente che appoggia l'emittente della carta, se non è una banca propriamente detta, e il contratto con l'emittente dovrebbe contenere una lingua in tal senso. In caso contrario, se si è già in attività e attualmente non si è a conoscenza di chi o con chi è necessario inviare un RoC o simili, è possibile che si sia creata una certa responsabilità.
PCI è fondamentalmente solo un gruppo di contratti commerciali, non un regolamento governativo come HIPAA. Se stai partecipando alla coniazione e allo scambio di PAN e qualcosa va storto e non hai disposizioni contrattuali e protezioni intorno a questo, o un'assicurazione che ti copre per questo, apparirà una causa che ti farà fallire.
Consiglierei di passare attraverso la lingua del tuo accordo con il tuo emittente prima, ci deve essere qualcosa lì.