那么，我们是否需要这样做，因为我们不存储、传输或处理信用卡数据。我们仅将信用卡信息从 RAM 传输到 API 调用。

您的第二个陈述与第一个相矛盾，更重要的是，它回答了您的问题。

PCI DSS v2声明如下，

PCI DSS 适用于存储、处理或传输帐户数据的任何地方。账户数据由持卡人数据和敏感身份验证数据组成，如下所示：

• 持卡人数据包括：
  • 主帐号 (PAN)
  • 持卡人姓名
  • 截止日期
  • 服务代码
• 敏感的身份验证数据包括：
  • 芯片上的完整磁条数据或等效数据
  • CAV2/CVC2/CVV2/CID
  • PIN/PIN 块

而且我认为将信用卡号（构成对持卡人数据的处理）传输到第三方应用程序也会使您的 POS 软件合规。问题是您的软件是否应该符合 PCI DSS 或 PA-DSS，这在“ PCI DSS 和 PA DSS 之间的关系”部分中进行了说明：

请注意以下有关 PA-DSS 适用性的事项：

• PA-DSS 确实适用于支付应用程序，这些应用程序通常是“现成的”销售和安装，无需软件供应商进行太多定制。
• PA-DSS 不适用于商家和服务提供商开发的支付应用程序，如果仅在内部使用（未出售、分发或许可给第三方），因为这种内部开发的支付应用程序将作为商家或服务提供商的正常 PCI DSS 合规性。

您说您的应用程序将信用卡数据传递给另一个应用程序？

这意味着您正在处理它 - 我会将您正在做的事情归类为根据 PA 指南传输 CC 数据（相关部分以粗体显示）：

PA-DSS 审查的范围应包括以下内容：

• 涵盖所有支付应用程序功能，包括但不限于

  1）端到端的支付功能（授权和结算）

  2）输入输出

  3) 错误条件

  4)与其他文件、系统和/或支付应用程序或应用程序组件的接口和连接

  5)所有持卡人数据流

  6) 加密机制

  7) 认证机制

• 支付应用程序供应商应向客户和经销商/集成商提供的指南覆盖范围（请参阅本文档后面的 PA-DSS 实施指南），以确保

  1) 客户知道如何以符合 PCI DSS 的方式实施支付应用程序，并且

  2) 客户被明确告知某些支付应用程序和环境设置可能会禁止他们遵守 PCI DSS。

  请注意，支付应用程序供应商可能会提供此类指导，即使特定设置

  1) 一旦客户安装应用程序，支付应用程序供应商就无法控制该应用程序或

  2) 是客户的责任，而不是支付应用程序供应商的责任。

• 已审核支付应用程序版本的所有选定平台的覆盖范围（应指定包含的平台）。

• 支付应用程序使用或内部访问和/或查看持卡人数据的工具（报告工具、日志工具等）的覆盖范围

（来自https://www.pcisecuritystandards.org/documents/pa-dss_v2.pdf的数据）

如果您的应用程序涉及支付数据，则它在 PA-DSS 的范围内。一些 POS 解决方案会为属于 3rd 方应用程序的付款弹出一个单独的窗口。第 3 方和附属硬件触碰付款，并将响应代码发送回商家应用程序，以便您完成销售。这会将 PA DSS 拉出范围。PCI DSS 始终以某种方式在范围内，但可以通过 3rd 方支付应用程序减轻负担。标准在不断发展。