Не отвлекайте от другого ответа, но другое, что вы делаете, это ограничивает область соответствия , отгораживая системы, которые видят или касаются данных карт от остальной части вашей ИТ-инфраструктуры. Не должно быть необходимости, чтобы ваш SVN-сервер или сервер сборки соответствовал требованиям PCI, если у него нет возможности увидеть данные держателя карты (конечно, вы должны показать, что это на самом деле политика, а не случайность того, как сеть настроена)