Come devo rispondere ai requisiti segnalati nel documento PCI DSS come "migliori pratiche disponibili per il futuro"?

Requisiti relativi alle "migliori pratiche fino a data futura"

Se non hai ancora implementato un nuovo requisito con data di entrata in vigore nel futuro e stai completando un documento PCI DSS prima della data di entrata in vigore del nuovo requisito, puoi contrassegnarlo come "Non applicabile".

Se l'utente si affida a un fornitore di servizi di terze parti (TPSP) per soddisfare i requisiti PCI DSS per conto dell'entità e:

• Il TPSP non è ancora stato valutato rispetto alla nuova versione dello standard,

oppure

• Il TPSP è stato valutato in base alla nuova versione dello standard, ma la valutazione è avvenuta prima della data di entrata in vigore dei nuovi requisiti e non includeva quei nuovi requisiti,

Quindi, a condizione che il TPSP abbia una valutazione PCI DSS valida, il valutatore dell'entità può contrassegnare come "Non applicabile" i requisiti su cui l'entità fa affidamento.

Se un'entità o un TPSP ha implementato un requisito con data di entrata in vigore nel futuro prima della sua data di entrata in vigore e vuole includerlo nella sua valutazione PCI DSS, può decidere di farlo annotando "Sì".

In tutti i casi, a partire dalla data di entrata in vigore, tutti i nuovi requisiti PCI DSS applicabili alla valutazione di un'entità (compresi quelli soddisfatti da un TPSP per conto dell'entità) devono essere pienamente considerati parte della valutazione PCI DSS dell'entità.