Mit der Version 2 des P2PE-Standards wurde die Rolle eines P2PE Component Providers eingeführt. Ein P2PE Component Provider stellt definierte Teilleistungen im Outsourcing für einen P2PE Solution Provider zur Verfügung.

Diese Teilleistungen werden durch einen eigenständigen P2PE-Audit eines P2PE-QSA validiert und der Component Provider erhält einen eigenen Audit-Report. Der zertifizierte P2PE Component Provider wird auf den offiziellen Listings des PCI Council geführt.

Ein P2PE Component Provider stellt einem Solution Provider P2PE-Teilleistungen zur Verfügung. Diese Services sind für folgende Teilbereiche des P2PE-Standards definiert:

• Encryption Management Services entsprechend den Anforderungen in Domain 1 und 6, sowie falls anwendbar des Annex A
• Decryption Management Services entsprechend den Anforderungen in Domain 5 und 6, sowie falls anwendbar des Annex A
• Key Injection Facility Services entsprechend den Anforderungen in Annex B der Domain 6, sowie falls anwendbar des Annex A

Certification Authority/Registration Authority Services entsprechend den Anforderungen in Annex A, Part A2 der Domain, sowie falls anwendbar der Part A1

Die Rolle des Component Providers erlaubt einem P2PE Solution Provider definierte Teilbereich seiner Lösung an den Component Provider auszulagern. Der Solution Provider ist jedoch weiterhin für die Gesamtlösung verantwortlich und muss die Compliance und die an den Component Provider ausgelagerten Services im Rahmen seines Service-Provider-Management (Domain 3) überwachen und sicherstellen.

Da die Definition eines Component Providers mit der Version 2 des P2PE-Standards eingeführt wurde, gibt es keine Möglichkeit für einen P2PE Solution Provider der nach der Version 1 des P2PE-Standards zertifiziert wurde, Dienstleistungen eines Component Providers im Rahmen seiner Solution zu nutzen.