Considerações sobre opções de pagamento com iFrame

Paycritical
May 14 · 3 min read

O que é um iFrame?

Um iFrame é um método que permite embeber uma página web dentro de uma outra página web, permitindo assim criar isolamento sobre as páginas onde estes estão contidos.

Os iFrames são uma técnica popular e recorrente utilizada por Gateways (instituições de pagamento, PSP, Bancos, etc) para fornecer soluções de pagamento mais facilmente integráveis, e com maior segurança aos seus clientes, com vista a reduzir assim o seu nível de responsabilidade e conformidade para com a norma PCI DSS.

O pagamento através de um iFrame

  1. O comerciante cria um iFrame no seu site. O browser do cliente solicita um form de pagamento à instituição de pagamento / PSP.
  2. A instituição de pagamento / PSP retorna um form de pagamento com base nos parâmetros solicitados para o iFrame.
  3. É mostrado no browser do cliente o form de pagamento retornado pelo passo anterior.
  4. O cliente introduz os dados de pagamento no iFrame que contém o form da instituição de pagamento / PSP.
  5. A instituição de pagamento / PSP recebe os dados submetidos no browser do cliente e processa o pagamento.

Devo escolher um iFrame?

Uma das vantagens em implementar um iFrame de uma Gateway de pagamentos, é devido ao SAQ-A (Self Assessment Questionnaire) tipo A. Quando a implementação de pagamentos num site de e-commerce é feita através de uma instituição de pagamento / PSP que seja PCI Compliant, o mais comum é que esta mesma entidade pré-preencha este documento por si, bem como o AOC (Attestation of Compliance). Se no entanto o seu negócio processar mais de 6 milhões de transações por ano, o SAQ não é suficiente e é requerido um ROC (Report on Compliance).

Já a nível de desvantagens, a mais evidente está relacionada com a menor flexibilidade de integração com o seu site a nível de UI/UX. Os iFrames embora possam por vezes proporcionar a definição de alguns estilos, o nível de customização disponibilizado é sempre mais limitado.

É importante também referir que embora a maioria das gateways e processadores de pagamento tenham soluções baseadas nesta abordagem técnica, a verdade é que nem todas cumprem verdadeiramente com as orientações PCI, sendo que nem sempre são também a melhor opção para o seu negócio. Quando implementar um iFrame deve procurar confirmar se tecnicamente os conteúdos relativos aos dados dos cartões estão efectivamente contidos num iFrame. No limite, pode ser também responsabilizado por falhas relativas a este domínio, pelo que lhe cabe a si estar informado e fazer escolhas assentes em evidências concretas.

Considerações de segurança

Os iFrames para serem seguros dependem em grande parte de medida técnica de segurança denominada como same-origin-policy. Esta tecnologia está presente hoje em dia em todos os browsers modernos. A implementação desta medida é crítica, pois só assim se consegue prevenir a interação de scripts maliciosos no seu site, para com os conteúdos do iFrame. Uma vez correctamente implementada esta medida, reduz-se grandemente a possibilidade de acessos por parte de intrusos, sejam estes third parties que também podem estar presentes no seu site, ou mesmo alguém que tenha ganho acesso indevido à sua infraestrutura.

Tome no entanto nota que se o seu site for comprometido, os atacantes podem paralelamente criar conteúdos alternativos para o frame, o que levará os seus clientes a introduzirem dados que serão transmitidos para terceiros. Um ataque desta natureza poderá ser muito difícil de detectar.

Embora o método baseado em iFrame seja uma opção bastante interessante a nível de segurança, é sempre importante também lembrar que lhe cabe a si procurar manter políticas de segurança actualizadas e activas com vista à prevenção de eventuais ataques à sua organização.

O que pode a Paycritical fazer por mim?

A Paycritical trabalha diariamente com os seus clientes, com o objectivo de garantir que estes têm as melhores soluções de pagamento adequadas ao seu negócio. Trabalhamos não apenas ao nível da solução contratual (TSC — Tarifas de Serviço de Cliente, garantias e responsabilidades), bem como a nível da implementação tecnológica, aspectos de segurança e compliance.

Contacte-nos já hoje :

info@paycritical.com

+351 211 451 610

www.paycritical.com

Paycritical

Written by

Helping companies with rocket-science applied to payments :)

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade