持卡人姓名、CC 号码的最后 4 位数字及其到期日期均为非敏感数据。仅当您使用完整的主帐号而不是截断的 4 位数字存储持卡人姓名和到期日期时，才需要保护持卡人姓名和到期日期。

如果您正在存储、处理或传输持卡人数据，那么您必须满足 kaushal 提到的所有其他 PCI DSS 要求，但对于您列出的项目，您不需要做任何特殊的事情来保护它们。

有关这方面的更多信息，请参见 PCI DSS 第 7 页和第 8 页： https ://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

某些支付产品将 PCI 合规性的负担转移给支付服务提供商（Authorize.NET 或 Paypal Pro）。但是，他们要求将消费者转发到支付提供商的服务器以完成他们的订单。如果您的网站通过 API 与 Authorize.NET 集成，那么您仍然需要对 PCI 合规性负责，因为您的服务器首先捕获和传输信用卡数据。

请务必注意 PCI-DSS 指南的要求 3，即保护持卡人数据。

根据 PCI-DSS https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf，

除非您是支持发行服务的发行人或公司，否则第 3.2 节明确说明您不能存储敏感数据，即使已加密。

但是，如果您为正常的业务过程保留敏感数据，那么您必须制定明确的数据保留和处置政策，如第 3.1 节所述。

根据第 3.3 节显示时，您还必须屏蔽敏感数据

并且您必须使存储的敏感数据不可读，如第 3.4 节所述

编辑：

根据 PCI-DSS 文档中提到的要求 3.2 和子要求 3.2.1，我想重申存储/传输中的敏感数据包括 1) 卡号 2) 持卡人姓名 3) 到期日期 4) 服务代码

第 7 页和第 8 页说，PAN 定义了 PCI-DSS 的适用性。

IMO，FULL pan 的缺失将消除任何 PCI-DSS 的适用性。我同意楼上的回答。

因此，在这种情况下，如果您存储任何此数据以及信用卡号的前 6 位和/或后 4 位数字，则 PCI-DSS 将不适用。