Ho un'applicazione javascript a pagina singola che comunica con un'API .NET in esecuzione in IIS. L'autenticazione viene eseguita dopo aver caricato il frontend dell'applicazione, utilizzando un token OAuth da Office 365, ottenuto utilizzando ADAL.js e verificato dal middleware WindowsAzureActiveDirectoryBearerAuthentication dalla libreria Microsoft OWIN, proprio come questa app di esempio .
Ieri qualcuno mi ha detto che questo comportamento (avere un'applicazione JS apertamente disponibile in internet con solo l'API protetta) non è conforme alla ISO 27001 e che il codice sorgente del frontend dovrebbe essere disponibile a un utente malintenzionato solo una volta ha effettuato correttamente l'accesso con un account verificato. Dal momento che non ho mai sentito parlare della ISO 27001 prima e non ho nemmeno accesso a quello standard, forse qualcuno può dirmi se questo è corretto o meno, e quale sarebbe lo stato dell'arte attuale.