¿La utilización de WebSockets causaría un problema al obtener o mantener el cumplimiento de PCI?
No en sí mismo; sin embargo, como cualquier conexión de red, está sujeta a las reglas de PCI DSS, como las siguientes:
1.1.5.a Verifique que los estándares de configuración del enrutador y el enrutador incluyan una lista documentada de servicios, protocolos y puertos necesarios para las empresas, por ejemplo, el protocolo de transferencia de hipertexto (HTTP) y la Capa de sockets seguros ( SSL), Secure Shell (SSH) y protocolos de red privada virtual (VPN). 1.1.5.b Identifique los servicios, protocolos y puertos inseguros permitidos; y verifique que sean necesarios y que las funciones de seguridad estén documentadas e implementadas mediante el examen de los estándares de configuración del enrutador y del enrutador y la configuración de cada servicio.
Por lo tanto, deberá documentar que cualquier servicio que configure con WebSocket es necesario y seguro. prácticamente de la misma forma que lo haría como si fuera un TCP de vainilla.
1.2.1.a Verifique que el tráfico entrante y saliente esté limitado a lo que es necesario para el entorno de datos del titular de la tarjeta, y que las restricciones estén documentadas.
Nuevamente ... documente que es necesario.
No he usado WebSocket, pero parece ser solo una capa de abstracción sobre TCP, por lo que para propósitos de PCI no introduce ninguna inseguridad inherente sobre el conjunto preexistente en TCP (... hasta que se demuestre lo contrario) , natch). Obviamente, para propósitos de PCI, deberás prestar atención al cifrado y asegurarte de que esté habilitado en la mayoría de los lugares.
Lea otras preguntas en las etiquetas pci-dss compliance