Come comprendo i requisiti dei test di penetrazione PCI DSS 3.0 / 3.1, un'azienda è conforme a 11.3 se il test di penetrazione non restituisce alcuna vulnerabilità ad alto rischio.
Tuttavia, cosa succede se una vulnerabilità a basso rischio identificata durante il test di penetrazione influenza un requisito al di fuori di 11.3? La società è considerata non conforme?
Ad esempio, la scoperta di un indirizzo IP interno è a basso rischio da un punto di vista esterno, tuttavia ciò influirebbe sulla conformità con 1.3.8, che stabilisce che gli indirizzi privati non devono essere divulgati.