Una auto-respuesta después de una conversación en el #docker IRC,
PCI DSS v3.2 no indica nada sobre el tipo de virtualización que se requiere, nada indica que debe usar hardware en lugar de virtualización a nivel de sistema operativo (alguien me corrige si me equivoco).
Sin embargo, la virtualización tradicional (HW) es una pieza relativamente simple de código ~ 100k LOC (supuestamente) que es asistida por hardware y depende en gran medida del sistema operativo invitado para hacer la mayor parte del trabajo pesado.
La virtualización a nivel del sistema operativo reutiliza el espacio del kernel entre las máquinas virtuales, y el kernel es un mucho pedazo de código más complicado, dejando una superficie de ataque MUCHO más grande, básicamente lo mismo que hace que la ventana acoplable sea super Es agradable apilar un montón de máquinas virtuales con recursos limitados en un poco de memoria, lo que lo hace menos útil para el caso de uso de PCI DSS: la reutilización del kernel.
Entonces, aunque no hay nada sobre PCI DSS en el momento que le impide usar la virtualización a nivel de sistema operativo, como lo que proporciona Docker y probablemente pasaría el examen por parte de la mayoría de los QSA, siente como debería estar prohibido ya que te deja con una arquitectura más vulnerable.
Nuevamente, muchas personas utilizan y certifican con éxito los HSM basados en software para almacenar sus claves (JCEKS y otras cosas), aunque sienta que debería estar prohibido.
Supongo que la respuesta a mi pregunta sería "sí, podrías hacerlo, probablemente aprobaría la certificación, pero probablemente no deberías hacerlo" .
Convo completo del #docker irc channel