Aunque se han formulado variantes de esta pregunta anteriormente, parecen estar relacionadas con el riesgo general, y estoy interesado en las connotaciones de PCI DSS.
Si un sitio de comercio electrónico está buscando el cumplimiento de PCI DSS de nivel 1 o nivel 2 (y, por lo tanto, debe incluir un QSA como parte de la revisión de SAQ o la auditoría completa de ROC) y el departamento de marketing solicita un javascript de análisis de terceros Las etiquetas que se insertarán en cada página, ¿esto necesariamente hará que el cumplimiento de PCI sea casi imposible de lograr?
El riesgo parece ser que si el tercero (por ejemplo, Google Analytics, pero hay muchos otros) 'necesita' incrustar una línea de javascript en cada página, incluidas las páginas de pago o inicio de sesión confidenciales, etc. más código de los servidores de terceros más allá de su control total, entonces esencialmente ha extendido su límite de PCI para incluir a ese tercero, y el acceso al auditor de PCI DSS a sus servidores y procesos será casi imposible de cualquier manera significativa.
En esencia, tendría que confiar completamente en la efectividad del código de seguimiento de terceros, y en todos los controles de seguridad y pruebas, etc. que rodean sus cambios de código, ya que tiene poco o ningún control sobre los scripts que son arrastrados a su sitio web. Si estuviera haciendo QSA con esta solución, plantearía algunas dudas serias sobre este enfoque.
Entonces, ¿esto significa que los sitios web de comercio electrónico compatibles con PCI DSS no pueden tener incorporado un javascript de seguimiento activo de terceros, o hay alguna flexibilidad aquí?