Читайте 17-ый Приказ ФСТЭК и хотя бы на практике его исполняйте + по моему пониманию, Ваше ПО (вернее подсистема защиты персональных данных) должно получить сертификат ФСТЭК на ПДн либо подсистема ЗИ должна быть разработана лицензиатом ФСТЭК. Хотя может быть в случае небольшой партии все "закроют глаза".

Ничего особенного отвас не нужно. Вы просто продавец. Продаете права на использование ПО, то есть лицензию. Срочная ли это лицензия (подписка) или бессрочная - это ни на что не влияет.
Что именно покупатель делает при помощи ПО - это вопрос к покупателю. Если покупатель при помощи этого ПО обрабатывает персональные данные, то это решение покупателя и забота покупателя. Это задача покупателя обеспечить комплекс мер по защите персональных данных.
Другое дело, когда вы продаете ПО, которое называете средством защиты информации или говорите, что ПО содержит такие элементы. Тогда, чтобы убедить покупателя в надежности защиты информации, вам нужно предлагать ПО, которое выполнено по определенным требованиям и прошло проверку, получив сертификат, например ФСТЭК. Но и без этого сертификата вам никто не запрещает продавать, это будет просто несертифицированное решение. Выбор опять же за покупателем.
Единственные варианты, когда от вас что-либо требуется:
1. Лицензия ФСБ для торговли ПО с сетифицированной криптографией (шифрованием). Именно сертифицированной на требования ФСБ.
2. Когда вы продаете не ПО, а сервис. То есть услугу по обработке информации. Вот тут как раз стоит читать нормативные требования к защите персональных данных, поскольку вы их обрабатываете как поставщик услуг. И чтобы привлечь заказчика-госоргана нужно читать более жесткие требования для госов. Если реализуете комплекс мер самостоятельно для такого сервиса и будете этот сервис продавать, то нужна будет лицензия ФСТЭК на ТЗКИ (или как ее там).
Пишу вам как госорган, приобретающий всякий софт.