Sí, esto está mal, y aquí es por qué. Como mencionó, PCI-DSS requiere que la comunicación que contiene datos confidenciales se maneje a través de un canal seguro. Como parte de este proceso, la validación del certificado garantiza que el certificado en cuestión esté en buen estado y pertenezca a la parte con la que desea hablar. Si no valida el certificado, es posible que el tráfico no esté encriptado porque no tiene idea de quién está en el otro extremo. Puede ser su proveedor comercial o un hombre en el medio que está leyendo y almacenando todos los datos de la tarjeta que envía antes de enviarlos al proveedor. Sin la validación del certificado, no puede saber quién está viendo los datos, por lo que su nivel de confianza de que el canal de transporte es seguro debe ser necesariamente del 0%.
Entonces, como dije en los comentarios, no aceptes esta condición. Si su proveedor comercial no puede o no soluciona los problemas para que pueda validar sus certificados con seguridad, busque otro proveedor comercial. De hecho, puede que no sea una mala idea en cualquier caso, porque si están dispuestos a jugar rápido y suelto con PCI y seguridad aquí, no puede saber en qué otro lugar de su sistema se han tomado libertades similares que le ponen a usted y a usted. Clientes en riesgo.