Ho incontrato questa domanda nel modulo SAQ A e la domanda afferma:
Le informazioni vengono mantenute su quali requisiti PCI DSS sono gestiti da ciascun fornitore di servizi e quali sono gestiti dall'entità?
Chi sarebbe l'entità in questo caso?
L'entità sarebbe l'entità valutata. Le terze parti sarebbero il prestatore di servizi di pagamento che gestisce le transazioni per conto dell'entità oggetto di valutazione. Dovrebbe esserci una comprensione da parte dell'entità in fase di valutazione quali sono le responsabilità di conformità assunte dal fornitore di servizi. Questa conoscenza consentirà all'entità di eseguire la due diligence e monitorare che il fornitore di servizi soddisfi i propri requisiti di conformità.
Aggiunta a @AndyMac: L'entità in questo caso sei tu; il cliente / commerciante che riceve il servizio. PCI DSS 3.2 richiede di comprendere i ruoli / responsabilità (commercianti) e quelli del fornitore di servizi; questo di solito è definito esplicitamente in un documento chiamato Service Provider Responsibility Matrix (SPRM). Il commerciante dovrebbe richiedere questo documento a tutti i fornitori di servizi nell'ambito della conformità PCI DSS durante la fase di due diligence insieme ad altri documenti come il loro AOC, SAQ, SLA ecc. Un buon esempio è mostrato di seguito link
Leggi altre domande sui tag pci-dss