L'utilizzo di WebSockets potrebbe causare un problema con l'ottenimento o il mantenimento della conformità PCI?
Non in sé e per sé; tuttavia, come qualsiasi connessione di rete, è soggetto alle regole PCI DSS come le seguenti:
1.1.5.a Verify that firewall and router configuration standards include a documented list of services, protocols and ports necessary for business—for example, hypertext transfer protocol (HTTP) and Secure Sockets Layer (SSL), Secure Shell (SSH), and Virtual Private Network (VPN) protocols. 1.1.5.b Identify insecure services, protocols, and ports allowed; and verify they are necessary and that security features are documented and implemented by examining firewall and router configuration standards and settings for each service.
Quindi dovrai documentare che tutti i servizi che hai configurato usando WebSocket sono necessari e sicuri; praticamente proprio come faresti con il TCP vanigliato.
1.2.1.a Verify that inbound and outbound traffic is limited to that which is necessary for the cardholder data environment, and that the restrictions are documented.
Ancora ... documenta che è necessario.
Non ho usato WebSocket, ma sembra essere solo un livello di astrazione su TCP, e quindi per gli scopi PCI non introduce alcuna insicurezza inerente sul set preesistente in TCP (... fino a prova contraria , natch). Ovviamente per gli scopi PCI ti consigliamo di prestare attenzione alla crittografia e assicurarti che sia abilitato nella maggior parte dei luoghi.
Leggi altre domande sui tag pci-dss compliance