HTC поведения не ActiveX компонентов и не представляют угрозы безопасности. (*)
Распространенная путаница проистекает из того факта, что проприетарное свойство CSS «поведение» IE может ссылаться на два вида реализаций: бинарные реализации (из которых есть несколько встроенных в IE и другие пользовательские могут быть загружены через тег <object>) и реализации гипертекста (он же файлы HTC, например CSS3 PIE).
Хотя первый все еще технически не является ActiveX, он позволяет запускать произвольный двоичный код на компьютере пользователя, что, безусловно, может рассматриваться как угроза безопасности. В результате этот тип поведения практически никогда не используется в Интернете.
С другой стороны, поведение HTC - это, по сути, просто HTML + JavaScript, и поэтому на него распространяются все те же меры песочницы и меры безопасности, как если бы вы просто включили JS на свою страницу с помощью тега <script>. На самом деле он еще более заблокирован, поскольку IE даже не позволяет загружать файлы HTC между доменами (к моему большому разочарованию).
Если это объяснение по-прежнему недостаточно убедительно для вашей команды безопасности / ИТ, и если вы хотите использовать CSS3 PIE специально, есть plain-JS версия библиотеки, которую вы можете использовать вместо файла HTC, который должен избежать любых страхов, которые они могут иметь. Однако у этого подхода есть некоторые недостатки, перечисленные на этой странице.
Надеюсь, это поможет.
(*) Я не эксперт по безопасности. ;)