首先 - PCI-DSS 适用于环境，而不是产品。
换句话说，它适用于您的网站，但不适用于您出售给客户的包装产品。
另一方面，它可能适用于您的客户，然后他们需要您的产品符合他们的合规性。

为此，PCI 研究员引入了PA-DSS——这适用于可以安装在客户环境中的产品（然后需要遵守 PCI）。

现在，关于您的特定产品 - PA-DSS 绝对适用，因为您存储或处理卡数据（即使不处理付款）。

从PA 常见问题解答：

就 PA-DSS 而言，符合 PCI SSC 审查和列表条件的支付应用程序定义为：
a) 作为授权或结算的一部分存储、处理或传输持卡人数据；
b) 被出售、
分发或许可给第三方

是销售在美国使用的软件的商业软件供应商，如果他们的软件包含允许收集和存储信用卡信息但不付款的功能，则受制于或法律要求实施 PCI-DSS将自身作为软件功能的一部分进行处理？

不。他们在法律上没有实施 PCI-DSS 的要求。事实上，“法律要求”NOBODY 实施 PCI-DSS。这意味着有一项法律规定它。那没有。如果您有商家帐户，则 PCI-DSS 是合同要求。

使用该软件获取信用卡信息的客户需要符合 PCI 标准。他们可能只需要使用符合 PA-DSS 的软件。如果他们有自产的购物车，则不需要符合 PA-DSS。如果他们使用销售/分发的第三方应用程序（可能是您的应用程序），则它必须符合 PA-DSS。“PA-DSS 不适用于应用程序或服务提供商仅作为服务提供的支付应用程序（除非此类应用程序也被出售、许可或分发给第三方。” ——https://www.pcisecuritystandards.org/pdfs /pci_pa_dss.pdf（您应该阅读此文档）

但这是他们的问题，而不是你的问题，除非他们通过拒绝购买你的软件（这完全有可能）把它变成你的。

如果您没有商家帐户并且与之相关的合同 PCI 不是您的问题。除非您同意将其作为客户的问题，否则不会。