PCI DSSの順守が求められる事業者としては，加盟店やプロセッサ（決済代行事業者）が代表である。しかし，それだけではない。カード会員データにアクセスできるすべての事業者は，業務内容に応じてPCI DSSの要求事項を順守しなければならない。カード会員データを格納した情報システムのホスティング業務を行い，加盟店などの事業体のホストやデータの管理サービスを提供する事業者もその一つである。こうした事業者を，ホスティング・プロバイダと呼ぶ。

　ホスティング・プロバイダは，複数の加盟店と契約していることが多い。そのため，PCI DSSは，加盟店などが順守する要件に加えて，要件2.4と付録Aによって，ホスティング・プロバイダがサービス提供先のそれぞれの事業者のホスト環境やデータを保護しなければならないと定めている。

物理的アクセスの対策も必要

　ホスティング・プロバイダは，複数の事業者と契約していることが多く，ある事業者のカード会員データ環境に他の事業者がアクセス可能となるような誤接続があってはならない。そのため，要件A.1.1とA.1.2により，アクセスを限定し権限を制限するよう規定している。

　ここで述べているカード会員データ環境へのアクセスとは，物理的アクセスなどを含むすべてのアクセスを指している。物理的アクセスの対策には，コンピュータ・ラックの施錠，IDカードによるマシンルームへの入退館管理，常時ビデオカメラ（表8）による常時監視がある。

ログと監査証跡は事業体ごとに管理

　ホスティング・プロバイダは，ログと監査証跡についても事業者ごとに管理する必要がある。要件A.1.3に，それが定められている。

　要件10では，ログと監査証跡について次のように定められている。ホスティング・プロバイダのログと監査証跡の管理は，これに準拠しなければならない。

　要件10の小項目では，ログが改ざんされたときにはアラートが発せられるよう，変更検知ソフトウエア（表9）を使用することなどが定められている。