Sebbene siano state poste in precedenza varianti di questa domanda, sembrano essere a rischio generale e sono interessato alle connotazioni PCI DSS.
Se un sito di e-commerce è in cerca di conformità PCI DSS livello 1 o livello 2 (e quindi deve coinvolgere un QSA come parte della revisione SAQ o audit completo ROC) e il reparto marketing sta richiedendo l'analisi di terze parti javascript tag da inserire in ogni pagina, ciò renderà necessariamente impossibile la conformità PCI?
Il rischio sembra essere che se la terza parte (ad esempio Google Analytics, ma ce ne sono molti altri) ha bisogno di incorporare una riga javascript in ogni pagina, inclusi checkout sensibili o pagine di accesso, ecc. e che javascript pull più codice dai server di terze parti oltre il tuo completo controllo, quindi hai sostanzialmente ampliato il tuo limite PCI per includere quelli di terze parti e dare accesso auditor PCI DSS ai loro server e processi sarà quasi impossibile in qualsiasi modo significativo.
In sostanza, dovresti affidarti completamente all'efficacia del codice di monitoraggio di terze parti e a tutti i controlli di sicurezza e test ecc. che circondano le loro modifiche al codice perché hai poco o nessun controllo sugli script che sono attratti dal tuo sito web. Se fossi in grado di fare QSA in questa soluzione, solleverei alcuni seri dubbi su questo approccio.
Quindi questo significa che i siti Web di e-commerce conformi allo standard PCI DSS non possono avere javascript di tracciamento di terze parti attivo incorporato su tutte le pagine, o c'è una certa flessibilità qui?