Varreduras externas trimestrais de vulnerabilidades, IPs a incluir

Tenho dúvidas sobre os requisitos do PCI DSS para varreduras externas trimestrais de vulnerabilidades por um ASV, especificamente quais IP públicos eu preciso incluir nessas verificações.

A organização é uma cadeia de lojas de varejo (as questões pertencem à porção física - não ao comércio eletrônico). Não há serviços voltados ao público em qualquer local físico, a não ser para necessidades comerciais internas (como acesso remoto [com 2FA], etc.).

Minhas perguntas:

1) Alguns locais têm balanceadores de carga externos, aos quais várias linhas de Internet se conectam (ISPs diferentes). Todas essas linhas de Internet são mapeadas para a mesma interface externa do firewall de perímetro e, portanto, são regidas pelas mesmas regras de firewall. Portanto, do ponto de vista de segurança, a varredura de um desses IPs deve ser suficiente, mas isso é permitido por PCI DSS 3.0 (ou 2.0)?

2) Existem roteadores MPLS que possuem IPs públicos, mas eles não podem ser acessados fora do MPLS. Eles precisam ser escaneados?

3) Existem roteadores que fornecem VPNs de backup para o MPLS que possuem IPs públicos que aceitam somente conexões da rede MPLS (sem ping, todas as portas filtradas). Eles precisam ser escaneados?

4) Existem IPs públicos mapeados para dispositivos IDS (Intrusion Detection System) gerenciados internos, que são acessíveis apenas ao nosso provedor de IDS (por meio de restrições de IP e de porta no firewall de perímetro, bem como pela segurança do IDS) dispositivos). Eles precisam ser escaneados?