Dipende tutto da come è implementato, ma sì, è certamente fattibile. Supponiamo che tu abbia un segmento di rete A che contiene sistemi che gestiscono i dati dei titolari di carta, il segmento B di rete con i server AD e il segmento di rete C con sistemi che non gestiscono i dati dei titolari di carta in qualsiasi capacità, non hanno accesso al segmento A e alla gestione dei sistemi all'interno di A e B viene eseguito utilizzando un host di bastion o un server di salto all'interno del segmento B. In questo scenario, potrebbe esserci una segmentazione efficace e, a seconda dei controlli di sicurezza implementati, si dovrebbe avere un bell'aspetto per utilizzare lo stesso annuncio pubblicitario in tutto. Metti in atto il controllo degli accessi basato sui ruoli, il monitoraggio e la registrazione, la valutazione dei rischi, ecc. E ti stai avvicinando alla conformità.
Per quanto riguarda il proxy, il proxy trasmette i dati dei titolari di carta e quali sono i rischi / rischi di sicurezza? La probabilità è che il server proxy sia considerato in-scope sebbene possa essere utilizzato sia dai sistemi in-scope che not-in-scope.