Lo importante es esto:
Aunque el HSM se encarga de una gran parte de la administración, no lo exime de las obligaciones descritas en los estándares en los que está trabajando.
Estoy seguro de que hay una verborrea similar en cualquier otro estándar con el que estarías trabajando.
Desde una perspectiva PCI-DSS:
En el estándar PCI-DSS 2.0, sección 3.5.1 y 3.5.2b:
3.5.1 Examine user access lists to verify that access to keys is restricted to the fewest number of custodians necessary.
3.5.2.b Identify key storage locations to verify that keys are stored in the fewest possible locations and forms.
En términos generales, un entorno de control de calidad tiene un número mucho mayor de personas con acceso al sistema, lo que infringiría la 3.5.1. Si una infracción en el sistema de control de calidad permitiera una interrupción en la producción, estoy seguro de que 3.5.2.b también se retiraría.