YES. Ma non è così semplice:
Da Informazioni sull'applicabilità PCI-DSS 3.2 :
PCI DSS applies to all entities involved in payment card processing—including merchants, processors, acquirers, issuers, and service providers.
PCI DSS also applies to all other entities that store, process, or transmit cardholder data and/or sensitive authentication data.
Il numero della carta (Numero account primario o PAN) deve essere reso illeggibile quando lo si archivia, in qualsiasi situazione. Il fatto che tu lo ricevi crittografato non è rilevante.
Una grande domanda qui è: che cosa sei? Sei un commerciante? Un fornitore di servizi? Un fornitore di applicazioni di pagamento? (quest'ultimo sembra improbabile, dalle informazioni che hai fornito)
PCI-DSS è uno standard di sicurezza. AFAIK, non è richiesto da alcun regolamento governativo, ma dai processori di pagamento. Quindi, se non sei responsabile verso un processore di pagamento, e non è qualcosa che vuoi avere per i tuoi clienti (nel caso tu sia un fornitore di servizi), nessuno ti obbliga a essere certificato PCI-DSS.
Se sei un commerciante, i requisiti esatti sono impostati dal processore di pagamento. Ad esempio, qui ci sono i requisiti di Visa per i loro commercianti, per quanto riguarda la conformità PCI-DSS.
Vorrei anche chiederti se hai davvero bisogno di memorizzare il PAN. Che scopo ha il PAN crittografato per te?