Tudo depende do seu acordo, certificação e auditorias que eles passarão, suas políticas, especialistas, recomendações, manutenção de software do servidor, ambiente, etc. A segurança é uma grande coisa - você precisa de mão de obra para verificar o provedor.
P.S.
PCI-DSS Não tem nada a ver com isso! ELES NUNCA VERIFICARÃO SEU SERVIDOR, está fora de sua missão
De acordo com os requisitos VISA / MC / AMEX, os dados do cartão de crédito (chamadas informações confidenciais) não podem ser processados pelo site até que ele atinja um número significativo de transações (centenas de milhares), portanto os números de cartão de crédito não são enviado para o seu servidor, os clientes são redirecionados para o site de pagamento do centro de processamento e você está recebendo a confirmação do pagamento, isso é tudo (se você está executando um site como este - você já sabe disso). Portanto, o PCI-DSS não afetará você até que você alcance esse número. Eu trabalhava em um dos centros de processamento e estava trabalhando em pagamentos seguros para sites ( 3-D Secure etc) , com sucesso passado PCI-DSS. PCI se preocupa apenas com dados confidenciais, e NADA mais.
Quando o seu site atingir esse número, acredito que você terá seu próprio DC e equipe de segurança com os administradores:)