PCI-DSS 与信用数据环境对话。如果整个“商店”都是 CDE 的一部分，那么在合规性方面它没有任何区别，所有这些环境中的所有系统都在 QSA 审计员的范围内。

话虽如此，这可能不是一个好主意。攻击者必须在内部反弹的路径越多，定义安全通道就越困难。

让我抛出一个现实的对抗场景：一个坏人进入商店 A 的 POS 收银机，这是一个处理非常少量交易的表现不佳的位置。商店中有人将第三方设备连接到您无法控制的网络，攻击者设法过渡到专用网络。如果攻击者四处寻找并发现信任模型中的弱点（例如，密钥加密密钥“隐藏”在 dll 中显而易见……是的，我正在与您交谈 PA-DSS 兼容的人） ...）并且能够开始收集最少数量的信用卡。

他们发现商店 B 可以通过 WAN 访问，并在第二次在处理 100 倍于第一次交易数量的商店中更有效地应用他们能够在小容量商店中开创的技术。

商店 B 有一套更好的控制，但通过利用商店 A 中维护较少的系统，攻击者能够从两个位置获取所有信用信息。仅 A 店就可能导致几十条客户记录被泄露，而 B 店则将其变成了全国性的报告事件，来自 30 多个州的游客受到了损害。

换句话说，如果您做到了这一点，并且不只是对合规性答案感到满意，那么除非有令人难以置信的业务需求，否则我不会这样做。即使它是“在 MPLS 上”，您毫无疑问会将其连接到您的前端，而前端又连接到互联网。