11.2.1 Perform quarterly internal vulnerability scans. Address vulnerabilities and perform rescans to verify all “high risk” vulnerabilities are resolved in accordance with the entity’s vulnerability ranking (per Requirement 6.1). Scans must be performed by qualified personnel.
Per le scansioni interne è possibile utilizzare Nessus purché le procedure siano documentate e il personale sia "qualificato".
11.2.2 Perform quarterly external vulnerability scans, via an Approved Scanning Vendor (ASV) approved by the Payment Card Industry Security Standards Council (PCI SSC). Perform rescans as needed, until passing scans are achieved.
Per le scansioni esterne, la scansione deve essere eseguita da un fornitore di scansione approvato (ASV). Puoi trovare l'elenco degli ASV al link . In tal caso Nessus non sarebbe utilizzabile dalla propria organizzazione, in quanto un ASV deve essere una terza parte.