As empresas que usam processadores de terceiros precisam ter PCI-DSS?

Sim. O uso de uma empresa terceirizada não exclui uma empresa da conformidade com o PCI-DSS. Isso pode até reduzir sua exposição ao risco e, consequentemente, tornar a conformidade de sua empresa com os requisitos do PCI, mais simples, no entanto, isso não significa que ela pode deixar de realizar a certificação.