La cosa importante è questa:
Sebbene HSM si prenda cura della maggior parte della gestione per te, non ti solleva dagli obblighi descritti negli standard a cui stai lavorando.
Sono sicuro che c'è una parvenza simile in qualsiasi altro standard con cui lavoreresti.
Da una prospettiva PCI-DSS:
Nello standard PCI-DSS 2.0, sezione 3.5.1 e 3.5.2b:
3.5.1 Examine user access lists to verify that access to keys is restricted to the fewest number of custodians necessary.
3.5.2.b Identify key storage locations to verify that keys are stored in the fewest possible locations and forms.
In generale, un ambiente di controllo qualità ha un numero molto più elevato di persone con accesso al sistema, il che violerebbe 3.5.1. Se una violazione del sistema di controllo della qualità ha permesso una violazione della produzione, sono sicuro che anche il 3.5.2.b verrà estratto.