Comment dois-je répondre aux exigences qui sont qualifiées dans le document PCI DSS de « meilleures pratiques jusqu’à une date ultérieure » ?

Exigences en matière de « bonne pratique jusqu'à une date ultérieure »

Si vous n'avez pas encore mis en œuvre une nouvelle exigence à venir et que vous complétez un document PCI DSS avant sa date d'entrée en vigueur, vous pouvez lui attribuer la mention « Non applicable ».

Si vous faites appel à un prestataire de services tiers (TPSP) pour satisfaire aux exigences PCI DSS au nom de votre entité, et :

• Le TPSP n'a pas encore été évalué par rapport à la nouvelle version de la norme,

ou

• Le TPSP a été évalué selon la nouvelle version de la norme, mais l'évaluation a eu lieu avant la date d'entrée en vigueur des nouvelles exigences et n'a pas pris en compte ces dernières,

Ensuite, à condition que l'évaluation PCI DSS du TPSP soit valide, l'évaluateur de l'entité peut marquer les exigences sur lesquelles elle s'appuie comme « Non applicable ».

Si une entité ou un TPSP a mis en œuvre une exigence future avant sa date d'entrée en vigueur et souhaite l'inclure dans son évaluation PCI DSS, il peut choisir de le faire en indiquant « Oui ».

Dans tous les cas, à compter de la date d'entrée en vigueur, toutes les nouvelles exigences PCI DSS applicables à l'évaluation d'une entité (y compris celles qui sont remplies par un TPSP au nom de l'entité) doivent être pleinement prises en compte.