Sì, questo è sbagliato, ed ecco perché. Come accennato, PCI-DSS richiede che le comunicazioni contenenti dati sensibili vengano gestite su un canale sicuro. Come parte di questo processo, la convalida del certificato garantisce che il certificato in questione sia in buono stato e appartenga alla parte con cui si intende parlare. Se non convalidi il certificato, il traffico potrebbe anche essere non crittografato perché hai nessuna idea di chi è all'altro capo. Potrebbe essere il tuo fornitore di mercanti, o potrebbe essere un man-in-the-middle che sta leggendo e memorizzando tutti i dati delle carte che hai inviato prima di inoltrarli al fornitore. Senza la convalida del certificato, non puoi sapere chi sta visualizzando i dati, quindi il tuo livello di fiducia che il canale di trasporto è sicuro deve essere necessariamente 0%.
Quindi, come ho detto nei commenti, non accettare questa condizione. Se il tuo fornitore commerciale non può, o non risolverà i problemi in modo che tu possa validamente convalidare i loro certificati, trova un altro fornitore commerciante. In realtà, potrebbe non essere una cattiva idea in ogni caso, perché se sono disposti a giocare in modo veloce e libero con PCI e sicurezza qui, non puoi sapere dove altro nel loro sistema hanno preso libertà simili mettendo te e la tua clienti a rischio.