La entidad sería la entidad que se está evaluando. Los terceros serían el proveedor de servicios de pago que maneja las transacciones en nombre de la entidad evaluada. Debe haber un entendimiento por parte de la entidad que se está evaluando, cuáles son las responsabilidades de cumplimiento que está asumiendo el Proveedor de Servicios. Este conocimiento permitirá a la entidad realizar la diligencia debida y controlar que el proveedor de servicios cumpla con los requisitos de cumplimiento.
Agregando a @AndyMac: La entidad en este caso eres tú; El cliente / comerciante que recibe el servicio. PCI DSS 3.2 requiere que comprenda sus roles / responsabilidades (comerciante) y el del proveedor de servicios; Esto generalmente se define explícitamente en un documento llamado Matriz de Responsabilidad del Proveedor de Servicios (SPRM). El comerciante debe solicitar este documento a cada proveedor de servicios dentro del alcance de su Cumplimiento de PCI DSS durante la etapa de debida diligencia junto con otros documentos como su AOC, SAQ, SLA, etc. A continuación se muestra un buen ejemplo. enlace
Lea otras preguntas en las etiquetas pci-dss