Ως service provider, χαρακτηρίζεται μία επιχείρηση που μεσολαβεί στην επεξεργασία, την αποθήκευση ή τη μετάδοση των δεδομένων πιστωτικών καρτών και δεν λαμβάνει άμεσα από τον τελικό πελάτη δεδομένα πιστωτικών καρτών.
Επίσης, είναι επιχειρήσεις που παρέχουν υπηρεσίες που ελέγχουν ή επηρεάζουν την ασφάλεια των δεδομένων της κάρτας. Για παράδειγμα, service providers είναι τα payment channels όπως το Paypal και τα payment platforms των τραπεζών, οι μηχανές κρατήσεων ξενοδοχείων κ.α.
Οι service providers καλούνται να συμμορφωθούν με τις προδιαγραφές του SAQ D SP το οποίο εμπεριέχει όλες τις απαιτήσεις και τις σχετικές πολιτικές ασφαλείας που πρέπει να υλοποιηθούν από τον οργανισμό. Πολλοί οργανισμοί για να καλύψουν τις προδιαγραφές του SAQ D SP θα χρειαστεί να επικυρώσουν τη συμμόρφωσή τους με το σύνολο των προδιαγραφών του PCI DSS, ενώ κάποιοι άλλοι οργανισμοί με πιο ειδικά μοντέλα λειτουργίας μόνο με μέρος αυτού. Για παράδειγμα, μία εταιρεία που δε χρησιμοποιεί ασύρματη τεχνολογία στην υποδομή της, δε θα χρειαστεί να επικυρώσει τη συμμόρφωσή της με τις ενότητες του PCI DSS που αναφέρονται στη διαχείριση της ασύρματης τεχνολογίας.
Το SAQ D SP για service providers ισχύει για όλους τους παρόχους υπηρεσιών που ορίζονται και ως payment brand και είναι κατάλληλοι για τη συμπλήρωση ενός SAQ.
Οι service providers με βάση το πλήθος των συναλλαγών που έχουν ανά brand κάρτας ετησίως, υπάγονται σε ένα από τα δύο level που υπάρχουν τα οποία καθορίζουν και την μεθοδολογία πιστοποίησης.
Service Providers που πραγματοποιούν μέχρι 300.000 συναλλαγές ετησίως
Service Providers που πραγματοποιούν περισσότερες από 300.000 συναλλαγές ετησίως ή εκτελούν υπηρεσίες πληρωμών (Payment Service Providers)