Вдобавок, определение service provider, настолько общее, что туда попадает всё что стоит рядом с карточными данными

Плохо когда нет опыта, аудиторы обычно понимают всё совершенно по другому, нежели ты, почитавший гуглов

Big4 надо что-то кушать =)

В защиту PCI DSS-а скажу, что это предельно четкий стандарт. Все остальные позволяют такие трактовки, что можно на голом месте стать и 100% комплаент и 100% не комплаент

Контроли там понятные, но вы возьмите определение сервис провайдера из глоссария

Service Provider:
Business entity that is not a payment brand, directly involved in the processing, storage, or transmission of cardholder data on behalf of another entity. This also includes companies that provide services that control or could impact the security of cardholder data. Examples include managed service providers that provide managed firewalls, IDS and other services as well as hosting providers and other entities. If an entity provides a service that involves only the provision of public network access—such as a telecommunications company providing just the communication link—the entity would not be considered a service provider for that service (although they may be considered a service provider for other services).

То есть, если ты вроде мерчант, но данные обрабатываешь на своей инфраструктуре - ты сервис провайдер?

Да, там же написано потом

Note that a merchant that accepts payment cards as payment for goods and/or services can also be a service provider, if the services sold result in storing, processing, or transmitting cardholder data on behalf of other merchants or service providers.

критерии не в том, где обрабатываешь,

странно, мы подавали SAQ D, с указанием цодов и прочего барахла, и никто нас не просил стать сервис провайдером

Не, я неправильно выразился

Вы становитесь сервис провайдером, если даете другим мерчентам своими мощностями пользоваться

другим - не аффилированным с текущим юрлицом?

Зависит от въедливости аудитора и ваших договоров

Вот, я сразу подумал что нужно начинать с аудиторов, что скажут

Но думаю да, если есть аффилированность, то скорее всего вы не сервис провайдер.

Если внутренние распорядки одни для всех, и вы на мерчантах не зарабатываете, то будет так

Если между вами "деловые отношения" и бабки врозь, то возможны разные трактовки

А вообще самый простой способ проверить - это нарисовать всю цепочку движения транзакции и понять риски на каждом этапе (и найти тех, кто за них отвеччает)