Возможно ли кейлоггер JavaScript для ввода данных в инфраструктуру

Простой способ уменьшить область вашего соответствия PCI - это использовать платежный шлюз, где пользователь вводит данные карты непосредственно в систему платежного шлюза. Обычно это достигается с помощью iFrame (т.е. форма оплаты загружается с сервера платежного шлюза на вашем веб-сайте в Iframe).

Я пытаюсь определить риск, если сервер будет скомпрометирован из-за какого-либо эксплойта, близкого к нулю, какой-либо используемой веб-платформы электронной коммерции.

Если бы кто-то смог загрузить или запустить какой-нибудь вредоносный javascript, он мог бы занести в журнал весь ввод данных на веб-сайт, даже если он был введен в iFrame?

Меня беспокоит утечка информации о карте. (Я понимаю, что GDPR означает, что у меня также будет гораздо больше поводов для беспокойства в случае взлома сервера).