¿Cómo puedo responder a los requisitos que el documento de PCI DSS señala como "buena práctica hasta una fecha futura"?

Requisitos de “mejores prácticas hasta una fecha futura”

Si aún no has implementado un nuevo requisito previsto para el futuro y estás cumplimentando un documento de la PCI DSS antes de la fecha de entrada en vigor del nuevo requisito, puedes marcarlo como “No aplicable”.

Si confías en un proveedor de servicios externo (TPSP) para que cumpla los requisitos de la PCI DSS en nombre de tu entidad y:

• el TPSP aún no se ha evaluado con respecto a la nueva versión del estándar,

o

• el TPSP se ha evaluado para la nueva versión del estándar, pero la evaluación fue anterior a la fecha de entrada en vigor de los nuevos requisitos y no incluía esos nuevos requisitos,

entonces, siempre que el TPSP tenga una evaluación de la PCI DSS válida, el asesor de la entidad puede marcar aquellos requisitos en los que se basa la entidad como “No aplicable”.

Si una entidad o TPSP ha implementado un requisito previsto para el futuro antes de su fecha de entrada en vigor y desea incluirlo en su evaluación para la PCI DSS, puede optar por hacerlo marcándolo con un “Sí”.

En todos los casos, a partir de la fecha de entrada en vigor, todos los nuevos requisitos de la PCI DSS aplicables a la evaluación de una entidad (incluidos los cumplidos por un TPSP en nombre de la entidad) deben tenerse plenamente en cuenta como parte de la evaluación de la PCI DSS de la entidad.