Tengo una aplicación javascript de una sola página que se comunica con una API .NET que se ejecuta en IIS. La autenticación se realiza después de cargar el frontend de la aplicación, utilizando un token OAuth de Office 365, obtenido mediante ADAL.js y verificado por WindowsAzureActiveDirectoryBearerAuthentication middleware de la biblioteca OWIN de Microsoft, como esta aplicación de ejemplo .
Ayer, alguien me dijo que este comportamiento (tener una aplicación JS disponible abiertamente en Internet con solo la API asegurada) no cumple con la norma ISO 27001, y que el código fuente de la interfaz solo debería estar disponible para un atacante una vez ha iniciado sesión con éxito con una cuenta verificada. Como nunca antes había oído hablar de la norma ISO 27001, y tampoco tengo acceso a esa norma, tal vez alguien pueda decirme si esto es correcto o no, y cuál sería el estado actual de la técnica.