Possiamo condividere una cartella tra regioni per gli utenti PCI

No. Il requisito per ottenere fuori campo per l'ambiente non-CDE è che è totalmente isolato in modo tale che l'ambiente non-CDE - se totalmente compromesso, dovrebbe essere "totalmente conquistato e posseduto dagli attaccanti" - non dovrebbe essere in grado di compromettere l'ambiente CDE - nemmeno ridurre la sicurezza il più piccolo. (Ambiente CDE="Zona PCI" nella tua domanda)

Il rischio per la sicurezza che esponi l'ambiente CDE esponendo un fileserver di sola lettura all'ambiente CDE che è scrivibile dall'ambiente non CDE è che il server può essere infettato da un virus proveniente dall'ambiente non CDE , che un utente PCI potrebbe accedere e causare il caos all'interno di CDE Enviroment.

Un modo migliore per ottenere questo trasferimento di informazioni è trasferire le informazioni in modo tale che non possano mai essere interpretate come file eseguibili. Pensate a un canale RS-232 unidirezionale da non-CDE a CDE, che viene gestito molto restrittivo nell'ambiente CDE. Il modo migliore per farlo è usare una RS-232 a fibra ottica all'estremità non CDE, quindi una fibra ottica a RS-232 all'estremità CDE, quindi collegare la porta di trasmissione su non-CDE solo a ricevere la porta sul lato CDE. È necessario assicurarsi che indipendentemente da ciò che è inserito nella parte non-CDE del canale RS-232, l'ambiente CDE potrebbe non essere influenzato dal punto di vista della sicurezza.

Ciò significa che è necessario configurare il ricevitore RS-232 in modo tale che il set di caratteri sia limitato, quindi anche se un utente copia un file dal server che gestisce il ricevitore RS-232 e ad esempio, cambia l'estensione del file da .txt to .exe, il sistema deve rimanere al sicuro. Ciò significa impostazioni molto restrittive sul ricevitore RS-232.