Почему встроенная форма оплаты не всегда снимает риск на стороне клиента

Откуда вообще пошла путаница

Исторически PCI SSC различал прямую отправку формы и встроенные формы либо перенаправление. В FAQ по SAQ A и SAQ A-EP совет объяснял: при iframe или перенаправлении платежная страница формируется сторонним процессором, а не сайтом компании. Это важно для охвата и критериев применимости.

Но из этого не следует, что страница сайта больше неважна. PCI SSC отдельно отмечал, что основной вектор атаки против перенаправления и встроенных форм — модификация кода сайта, чтобы направить пользователя не туда или изменить поведение страницы.

Что PCI SSC говорит сейчас

В глоссарии PCI SSC платежная страница может быть не только отдельным документом, но и компонентом внутри встроенного фрейма. А в SAQ A есть прямое примечание: требование 11.6.1 применяется к компаниям, которые размещают на своем сайте встроенную платежную форму стороннего поставщика услуг.

Плюс FAQ 1588 в феврале 2025 года прямо закрепил: критерий SAQ A про скриптовые атаки относится именно к компаниям, у которых есть встроенная платежная страница или форма, например через inline frame.

Где остаётся реальный риск

Даже если данные карты вводятся во встроенную форму провайдера, страница сайта по-прежнему отвечает за DOM, загрузку части скриптов, окружение страницы, HTTP-заголовки, сторонние теги, аналитику, менеджеры согласий и общую границу доверия в браузере клиента.

• можно незаметно внедрить чужой скрипт рядом со встроенной формой оплаты;
• можно подменить логику перенаправления или визуальный слой;
• можно изменить заголовки и поведение страницы во время выполнения;
• можно сломать интеграцию так, что страница перестанет соответствовать инструкциям TPSP.

Практический вывод

Iframe — это не аргумент против защиты на стороне клиента. Это всего лишь другой тип архитектуры, где нужно доказывать, что страница сайта не стала удобной точкой для атаки на процесс оплаты.