Como devo atender aos requisitos indicados no documento do PCI DSS como “melhores práticas até uma data futura”?

Requisitos para “recomendações até uma data futura”

Se você ainda não implementou um novo requisito datado do futuro e está preenchendo um documento do PCI DSS antes da data efetiva do novo requisito, é possível marcá-lo como "Não aplicável".

Se você confia em um provedor de serviços terceirizado (TPSP) para atender aos requisitos do PCI DSS em nome da sua entidade e:

• O TPSP ainda não foi avaliado em relação à nova versão do padrão

ou

• O TPSP foi avaliado de acordo com a nova versão do padrão, mas a avaliação foi anterior à data de vigência dos novos requisitos e não incluiu esses novos requisitos,

então, desde que o TPSP tenha uma avaliação válida do PCI DSS, o avaliador da entidade talvez marque os requisitos sobre os quais a entidade se baseia como "Não aplicável".

Se alguma entidade ou TPSP implementou um requisito com data futura antes da data de vigência e quiser incluí-lo na avaliação do PCI DSS, ela deve marcar "Sim".

Em todos os casos, a partir da data de vigência, todos os novos requisitos do PCI DSS para a avaliação de uma entidade (incluindo os atendidos por um TPSP em nome da entidade) devem ser totalmente considerados como parte da avaliação do PCI DSS da entidade.