No, l'ISP non ha bisogno di essere conforme PCI in questo senso. Se non stavi comunicando tramite un canale sicuro (ad esempio TLS), violerebbe comunque i requisiti di transito dei dati di PCI DSS.
Un altro modo per pensare a questo è dal punto di vista del cliente - se c'è un sito Web di denuncia pubblico PCI DSS, l'ISP del cliente deve essere conforme PCI DSS? No, l'onere è su di te per assicurarti che il livello di trasporto sia crittografato correttamente.
In questi casi, TLS è considerato un controllo compensativo , il che significa che qualcosa che stai facendo non sarebbe strettamente conforme (ad esempio, l'invio di dati di carte in transito attraverso la rete pubblica di qualcun altro) ma hai implementato ulteriori controlli di sicurezza che mitigano tale preoccupazione.
Per inciso, tieni presente che il consiglio PCI è in procinto di deprecare TLS 1.0 (tutte le versioni precedenti sono già deprecate) in modo da non essere compatibile se TLS 1.0, SSLv3 o SSLv2 sono abilitati su qualsiasi servizio sulla tua rete.