No. El requisito para salirse del ámbito de aplicación para el entorno sin CDE es que está totalmente aislado de tal manera que el entorno sin CDE, si está totalmente comprometido, debería decir "totalmente asumido y propiedad de los atacantes" - No debe ser capaz de comprometer el entorno CDE, ni siquiera reducir la seguridad en lo más mínimo. (Entorno CDE="Zona PCI" en su pregunta)
El riesgo de seguridad por el que expone el entorno de CDE al exponer un servidor de archivos de solo lectura al entorno de CDE que se puede escribir desde el entorno no CDE es que el servidor puede estar infectado con un virus que se origina en el entorno no CDE , que un usuario de PCI podría acceder y causar estragos en el entorno de CDE.
Una mejor manera de lograr esta transferencia de información, es transferir la información de tal manera que nunca pueda interpretarse como archivos ejecutables. Piense en un canal RS-232 de una sola vía desde no CDE a CDE, que se maneja de manera muy restrictiva en el entorno de CDE. La mejor manera de lograr esto es usar un RS-232 para fibra óptica en el extremo que no es CDE, y luego una fibra óptica para RS-232 en el extremo CDE, y luego solo se conecta el puerto de transmisión en el no CDE al Puerto de recepción en el lado CDE.
Debe asegurarse de que, independientemente de lo que se coloque en el extremo no CDE del canal RS-232, el entorno de CDE no se vea afectado por la seguridad.
Esto significa que necesita configurar el receptor RS-232 de tal manera que el conjunto de caracteres esté limitado, por lo que incluso si un usuario copia un archivo del servidor que maneja el receptor RS-232 y, por ejemplo, cambia la extensión del archivo .txt a .exe, el sistema debe permanecer seguro. Esto significa configuraciones muy restrictivas en el receptor RS-232.