11.2.1 Realizar análisis de vulnerabilidad internos trimestrales. Trate las vulnerabilidades y realice reexploraciones para verificar que todas las vulnerabilidades de "alto riesgo" se resuelvan de acuerdo con la clasificación de vulnerabilidades de la entidad (según el Requisito 6.1). Las exploraciones deben ser realizadas por personal calificado.
Para las exploraciones internas, puede usar Nessus siempre y cuando tenga procedimientos documentados y el personal esté "calificado".
11.2.2 Realice exploraciones de vulnerabilidad externas trimestrales, a través de un Proveedor de escaneo aprobado (ASV) aprobado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). Realice los reexámenes según sea necesario, hasta que se logren los exámenes de aprobación.
Para exploraciones externas, la exploración debe realizarla un proveedor de exploración aprobado (ASV). Puede encontrar la lista de ASV en enlace . En ese caso, Nessus no podría ser utilizado por su propia organización, ya que un ASV debe ser un tercero.