Un'auto-risposta dopo un convocamento su IRC #docker,
PCI DSS v3.2 non indica nulla sul tipo di virtualizzazione richiesta, nessuno afferma che è necessario utilizzare l'hardware anziché la virtualizzazione a livello di sistema operativo (qualcuno mi correggerà se ho torto).
Tuttavia, la virtualizzazione tradizionale (HW) è un pezzo di codice relativamente semplice ~ 100k LOC (presumibilmente) che è assistito da hardware e dipende in gran parte dal sistema operativo guest per eseguire la maggior parte del lavoro pesante.
La virtualizzazione a livello di sistema operativo riutilizza lo spazio del kernel tra le macchine virtuali, e il kernel è un molto pezzo di codice più complicato, lasciando una superficie di attacco MOLTO più grande - fondamentalmente la stessa cosa che rende superfluo il docker bello impilare un mucchio di VM con risorse limitate in un piccolo frammento di memoria è ciò che lo rende meno utile per il caso d'uso PCI DSS - riutilizzo del kernel.
Quindi, anche se non c'è nulla su PCI DSS al momento che ti impedisce di utilizzare la virtualizzazione a livello di sistema operativo come quella fornita da Docker e probabilmente passerà il controllo dalla maggior parte dei QSA, si sente come dovrebbe essere vietato in quanto ti lascia con un'architettura più vulnerabile.
Inoltre, molte persone usano e certificano con successo gli HSM basati su software per archiviare le loro chiavi (JCEKS e quant'altro) anche se ritiene che dovrebbe essere proibito.
Credo che la risposta alla mia domanda sarebbe "sì, potresti farlo, probabilmente passerebbe la certificazione, ma probabilmente non dovresti farlo" .
Convocazione completa dal canale #docker irc