Используют ssh ключи совместимый PCI?

Если ваша служба ssh открыта для Интернета, вам потребуется двухфакторная аутентификация (8.3). Это требование применяется к любой учетной записи с доступом к любой системе, в которой присутствуют данные о держателях карт (за исключением учетных записей, которые только обрабатывают транзакции и имеют доступ только к данным, которые они обрабатывают в это время). У вас также должна быть двухфакторная аутентификация во внутренней внутренней сети (8.2).

Ключ ssh учитывается только как один фактор (то, что вы знаете), даже если у него есть собственная кодовая фраза.

Это требование будет пропущено внешним сканированием, так как оно не может быть проверено. Но аудиторы, которые посещают вас на месте, должны его искать.