PCI DSSドキュメントに「先日付のベストプラクティス」として記載されている要件にはどう対応すべきですか？

「先日付のベストプラクティス」の要件

先日付の新しい要件をまだ実装しておらず、新しい要件の発効日より前にPCI DSS文書の作成を行う場合は、「該当なし」としてマークできます。

自社に代わってPCI DSS要件を満たすためにサードパーティサービスプロバイダー（TPSP）に依存しており、

• TPSPが標準の新しいバージョンに対してまだ評価されていない場合

または

• TPSPが標準の新しいバージョンに合わせて評価されているものの、評価が新しい要件の発効日より前に行われており、新要件が含まれていない場合

こうした場合は、TPSPが有効なPCI DSS評価を受けていることを条件として、事業体の評価者は事業体が依拠する要件を「該当なし」とマークすることができます。

事業体またはTPSPが発効日より前に先日付の要件を実装しており、それをPCI DSS評価に含めたい場合は、「はい」とマークすることで含めることができます。

いずれの場合も、発効日以降、事業体の評価に適用されるすべての新しいPCI DSS要件（事業体に代わってTPSPが満たすものを含む）は、事業体のPCI DSS評価の一部として完全に考慮する必要があります。