La respuesta no es muy buena. Esta es una de esas áreas grises de PCI y realmente depende de su QSA ...
En las empresas en las que he trabajado en el pasado, nos hemos salido con la suya, aunque trabajamos para restablecer SSL en el back-end de los balanceadores de carga porque es la mejor práctica general y los gastos generales mínimos. Esto se reduce a la parte de "redes públicas abiertas" de PCI DSS 4.1 (versión 2.0) .
4.1 Use criptografía y protocolos de seguridad sólidos (por ejemplo, SSL / TLS, IPSEC, SSH, etc.) para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes abiertas y públicas.
Su red interna no se considera una "red pública abierta" y, por lo tanto, no está sujeta al requisito de cifrado. Honestamente, todavía sugeriría el cifrado en el back-end, especialmente si está utilizando una nube pública.
Tenga en cuenta que PCI DSS 3.0 está programado para que se publique pronto, y el cumplimiento se programará para 2015 en la mayoría de los casos ( borrador aquí ). No parece haber ninguna posibilidad en la especificación de requerir SSL en el back-end.