Wie soll ich auf die Anforderungen eingehen, die im PCI DSS Dokument als „Best Practices bis zu einem zukünftigen Zeitpunkt“ angegeben sind?

„Best Practice bis zu einem späteren Zeitpunkt“ – Anforderungen

Wenn Sie eine neue, in der Zukunft liegende Anforderung noch nicht umgesetzt haben und ein PCI-DSS-Dokument vor dem Inkrafttreten der neuen Anforderung ausfüllen, können Sie es als „Nicht zutreffend“ markieren.

Wenn Sie sich auf einen Drittanbieter verlassen, um die PCI-DSS-Anforderungen im Namen Ihres Unternehmens zu erfüllen, und:

• der Drittanbieter noch nicht anhand der neuen Version des Standards bewertet wurde,

oder

• der Drittanbieter nach der neuen Version des Standards bewertet wurde, aber die Bewertung vor dem Inkrafttreten der neuen Anforderungen stattfand und diese neuen Anforderungen nicht umfasste,

dann kann der Prüfer des Unternehmens die Anforderungen, auf die sich das Unternehmen stützt, als "nicht zutreffend" markieren, sofern der Drittanbieter über eine gültige PCI-DSS-Bewertung verfügt.

Wenn ein Unternehmen oder ein Drittanbieter eine in der Zukunft liegende Anforderung vor dem Datum ihres Inkrafttretens umgesetzt hat und sie in seine PCI-DSS-Bewertung einbeziehen möchte, kann es dies tun, indem es sie mit „Ja“ markiert.

In jedem Fall müssen ab dem Datum des Inkrafttretens alle neuen PCI-DSS-Anforderungen, die für die Bewertung eines Unternehmens gelten (einschließlich derjenigen, die von einem Drittanbieter im Namen des Unternehmens erfüllt werden), als Teil der PCI-DSS-Bewertung des Unternehmens vollständig berücksichtigt werden.