PCI DSS 3.2 afferma: "PCI DSS si applica a tutte le entità coinvolte nell'elaborazione delle carte di pagamento, inclusi commercianti, processori, acquirer, emittenti e fornitori di servizi. PCI DSS si applica anche a tutte le altre entità che archiviano, elaborano o trasmettono titolari di carte dati e / o dati sensibili di autenticazione. "
Nel sito PCI SSC è presente una sezione Domande frequenti che chiede se PCI si applica alla carta con i dati del titolare della carta e la risposta è stata: "Sì, i requisiti PCI DSS sono applicabili se un numero di conto primario (PAN) viene archiviato, elaborato o trasmesso con qualsiasi supporto, inclusi i registri cartacei I requisiti PCI DSS dalla 9,5 alla 9,8 riguardano specificamente la protezione dei supporti fisici, compresi i registri cartacei, contenenti i dati dei titolari di carta. "
Considerati quei due insieme, sembra che si applicherebbe nel caso di manipolazione dei supporti della carta di plastica. Come Jeff ha sottolineato in un commento, se non si dispone di un accordo che obbliga contrattualmente a PCI DSS, l'applicabilità diventa interessante.
Non conoscendo i particolari del processo che stai chiedendo, quello che guarderei è chiunque stia inviando le carte alla società in questione. Si tratta di un commerciante o fornitore di servizi che è obbligato a essere conforme PCI DSS? La società dovrebbe esaminare 12.8, "Mantenere e attuare politiche e procedure per gestire i fornitori di servizi con i quali i dati dei titolari di carta sono condivisi o che potrebbero influire sulla sicurezza dei dati dei titolari di carta, come segue:". Seguono sottoriquisiti che parlano di accordi scritti che riconoscono responsabilità, processi di diligenza per capire chi ha quale responsabilità in base a requisiti diversi, ecc.
Nella mia esperienza con gli audit di QSA, ciò che mi aspetto di accadere è che il QSA richiederà un elenco dal commerciante che include tutte le entità con le quali il commerciante ha condiviso i dati delle carte in qualsiasi veste. Poi avrebbero scavato in quello. Anche se la tua azienda potrebbe non avere obblighi diretti, i commercianti / fornitori di servizi con cui lavori hanno degli obblighi potrebbero trovarsi in una brutta situazione se dovessero dimostrare di sapere che eri compatibile con PCI DSS e non potevano farlo.