Respuesta corta, sí, pero vms agrega una capa adicional de complejidad.
Respuesta larga:
Un hipervisor crea una superficie de ataque adicional. No solo tiene que preocuparse por los riesgos tradicionales que existen en un entorno físico, sino que ahora tiene que preocuparse por el hipervisor en sí. Si está comprometido, todos los componentes del sistema están comprometidos. La mala configuración del hipervisor podría dar lugar a un único punto de falla / compromiso que ahora afecta a todas las máquinas virtuales en él. Por lo tanto, debe asegurarse de que (como mínimo) lo restrinja de acuerdo con el menor privilegio, "necesita saber" y asegurarse de que lo supervise (pero ese es otro problema porque la supervisión de VM no es tan madura como la tradicional ...)
Las capas adicionales de complejidad que resultan de tratar con una VM (especialmente si colocas un firewall virtual) te brindan más oportunidades de cometer un error.
También debe asegurarse de configurar las cuentas de usuario correctamente. Configurando mal los usuarios de la VM y permitiendo accidentalmente demasiados privilegios para un usuario determinado, (potencialmente) les da acceso a LOTS más que su simple error.
Luego debe preocuparse por las máquinas virtuales antiguas que están "apagadas" y sin usar. Apague y encienda la caja, y olvide que está configurado para iniciarse automáticamente y ha agregado una máquina a la red que no se está manteniendo.
Las instantáneas agregan otro problema. Claro, es bueno hacer una instantánea de una actualización para evitar que la actualización destruya todo el sistema, pero debe tener cuidado de administrarla adecuadamente para no dejar accidentalmente la información de la tarjeta de pago vulnerable en la instantánea.
La información también puede filtrarse entre los componentes, por lo que también debes protegerte de eso.
Y, por supuesto, el hipervisor en sí mismo es otra cosa que debe actualizarse, mantenerse y asegurarse de manera regular.
Por lo tanto, existe un compromiso entre la conveniencia de usar una caja de vm para alojar sus componentes y la complejidad y las tareas adicionales necesarias para mantenerlo seguro.
Entonces, larga conclusión: claro. Puedes hacerlo compatible con PCI. Solo se necesita un poco más de esfuerzo para lidiar con las complejidades.