I requisiti PCI-DSS definiscono l'ambito in termini di CDE e sistemi ad esso collegati. I requisiti che riguardano specificamente la sicurezza fisica (9.x) sono formulati in termini di strutture che ospitano sistemi CDE (e possono essere ragionevolmente interpretati per estendersi a strutture che ospitano sistemi collegati dalla rete al CDE).
Tuttavia, il requisito 11.1, che richiede la scansione per i punti di accesso wireless, è formulato in termini assoluti senza riferimento al CDE:
Implement processes to test for the presence of wireless access points (802.11), and detect and identify all authorized and unauthorized wireless access points on a quarterly basis.
È ragionevole presumere che tali scansioni WiFi debbano essere eseguite solo presso strutture aziendali che hanno qualche connessione con il CDE? Ciò sembra corrispondere all'intenzione del requisito, anche se interpretato in senso ampio potrebbe applicarsi a qualsiasi struttura.