Los requisitos de PCI-DSS definen el alcance en términos del CDE y los sistemas conectados a él. Los requisitos que se relacionan específicamente con la seguridad física (9.x) se expresan en términos de las instalaciones que albergan los sistemas CDE (y se puede interpretar razonablemente que se extienden a las instalaciones que albergan sistemas conectados por red al CDE).
Sin embargo, el requisito 11.1, que requiere la búsqueda de puntos de acceso inalámbricos, está redactado en términos absolutos sin referencia al CDE:
Implemente procesos para probar la presencia de puntos de acceso inalámbricos (802.11), y detecte e identifique todos los puntos de acceso inalámbricos autorizados y no autorizados trimestralmente.
¿Es razonable suponer que tales exploraciones WiFi solo deben realizarse en las instalaciones de la empresa que tienen alguna conexión con el CDE? Eso parece coincidir con la intención del requisito, aunque interpretado en términos generales, podría aplicarse a cualquier instalación.