IANAQSA! Questi dati non ti mettono in ambito, ma probabilmente sei in ambito, comunque, ma non importa quale sia la tua relazione che ti consente di accedere a tali dati senza ambito.
Per citare PCI-DSS 3.2 (enfasi come sorgente):
The primary account number is the defining factor for cardholder data. If cardholder name, service code, and/or expiration date are
stored, processed or transmitted with the PAN, or are otherwise
present in the cardholder data environment (CDE), they must be
protected in accordance with applicable PCI DSS requirements.
Se non hai mai il numero di conto primario completo, non hai i dati del titolare della carta. Ciò non significa che non sei soggetto al DSS, tuttavia . Anche un commerciante che esternalizza la gestione dei dati delle carte da parte del proprio fornitore di servizi è soggetto a qualcosa come il SAQ A (questionario di autovalutazione).
Quello che stai descrivendo (il primo 6, l'ultimo 4) è chiamato Troncamento ed è descritto nella sezione 3.4 del DSS. Quindi qualcuno - il tuo fornitore di servizi? - sta troncando i numeri delle carte e consegnandole a voi al posto dei numeri delle carte. In questo caso, il tuo fornitore di servizi dovrebbe essere autorevole per aiutarti a capire quale sia il tuo ambito nell'ambito del DSS.
Si tratta di questo:
PCI DSS applies to all entities involved in payment card
processing—including merchants, processors, acquirers, issuers, and
service providers.
Quei numeri troncati ti mettono nella portata? No. Se stai ricevendo numeri troncati, è probabile che tu abbia una relazione che ti rende soggetto al PCI DSS come sopra? Molto probabile, sì.