Можно и XP использовать, но с компенсирующими мерами - установкой средств защиты.
под PCI DSS v. 3.0 есть прецедент привдения в соответствие сети банкоматов на XP в АК БАРС Банке летом 2014г. dsec.ru/news/press/with_the_support_of_the_company_icl_kpo_vs_ak_bars_bank_once_again_confirms_the_compliance_of_its_se/?sphrase_id=1820
Под 382-П ЦБ РФ Сбер и 3 десятка банков на "носороге" соответствие проходят
В плане рекомендаций ATMIA - "носорог" член ATMIA и сам рекомендации пишет
По другим средствам защиты сказать не могу. О прецедентах и проектах не слышал пока