Da un punto di vista PCI DSS non è considerato "Dati di titolari di carta" a meno che non includa il numero completo di conto primario (il numero di 16 cifre della carta), quindi se non tocca mai i tuoi sistemi allora sono davvero fuori portata.
Se la stai guardando oltre il PCI, guarderei se effettivamente hai bisogno di tanto - trasmettendo / memorizzando le prime sei e ultime quattro foglie solo 10.000 combinazioni possibili per ottenere il "pieno" "PAN, c'è ancora del lavoro da fare per ottenere dettagli sufficienti per" rubare "la carta, ma a meno che tu non abbia una ragione specifica per aver bisogno di gran parte del PAN perché farlo?