Ежеквартальное сканирование внешних уязвимостей, IP-адреса для включения

У меня есть вопросы относительно требований PCI DSS для ежеквартального сканирования внешних уязвимостей с помощью ASV, в частности, какие общедоступные IP-адреса мне нужно включить в эти проверки.

Организация представляет собой розничный сетевой магазин (вопросы относятся к обычной части, а не к их электронной коммерции). В обычных офисах нет общедоступных сервисов, кроме как для внутренних бизнес-нужд (таких как удаленный доступ [с 2FA] и т. Д.).

Мои вопросы:

1) В некоторых местах есть внешние балансировщики нагрузки, к которым подключаются несколько интернет-линий (разные интернет-провайдеры). Все эти Интернет-линии отображаются на один и тот же внешний интерфейс брандмауэра периметра и, таким образом, регулируются одними и теми же правилами брандмауэра. Итак, с точки зрения безопасности сканирования одного из этих IP-адресов должно быть достаточно, но разрешено ли это в соответствии с PCI DSS 3.0 (или 2.0)?

2) Есть маршрутизаторы MPLS, у которых есть общедоступные IP-адреса, но они недоступны извне MPLS. Их нужно сканировать?

3) Существуют маршрутизаторы, которые обеспечивают резервные VPN для MPLS, которые имеют общедоступные IP-адреса, которые принимают соединение только из сети MPLS (без эхо-запросов, все порты отфильтрованы). Их нужно сканировать?

4) Существуют общедоступные IP-адреса, сопоставленные с устройствами внутренней управляемой системы обнаружения вторжений (IDS), которые доступны только нашему провайдеру IDS (как через ограничения IP и портов в брандмауэре периметра, так и через безопасность устройств IDS). Их нужно сканировать?