De acordo com a guia de PCI em Serviços da AWS no escopo por conformidade O programa Cola não é compatível com PCI.
Eu não sou um auditor, mas assumo que o processamento de dados de cartão de crédito em serviços não compatíveis com PCI não é permitido, mesmo que não esteja armazenado lá. Eu acho que em casos como este melhor ser seguro do que remediar e usar apenas serviços compatíveis para cobrir o seu lado de trás.
Isso é o que eu faria de qualquer maneira;)