A última vez que li os padrões PCI, eles tinham os requisitos de isolamento bem definidos (o termo técnico na linguagem PCI é reduzir o escopo do ambiente compatível com PCI). Desde que esses servidores flagrantemente não conformes tenham acesso zero à zona compatível, ele deve voar. Isso seria um segmento de rede totalmente protegido por firewall da sua rede normal, e as regras desse firewall são compatíveis com PCI.
Nós fizemos a mesma coisa no meu antigo emprego.
A principal coisa a ter em mente é que da perspectiva da zona compatível com PCI tudo o que não está na zona deve ser tratado como a Internet pública, não importa se é também o mesmo rede que também armazena seu IP corporativo. Contanto que você faça isso, você deve ser bom.