Если у вас ООО-шечка или хотя бы приличная ИП-шечка и вы принимаете платежи лучшей картой во всём Мире — вам наверняка знакомы слова: PCI, DSS, AOC, ASV, QSA, SIEM, CSP, SRI. Как, не знакомы? Ну подрастёте — узнаете. Даже если у вас просто лендосик, который перенаправляет оплату на сайт банка — всё равно подрастёте и узнаете. Итак. Приходит к нам от банка требование: заполнить форму с ласковым названием SAQ A-MIR. Ну а чо нет. Все же любят заполнять 20–50-страничные документы. Вникаем. Форма спрашивает, в общем-то, разумные вещи: — меняете ли пароли по умолчанию — ставите ли обновления — есть ли план на случай, если позвонят мошенники к вашей бабушке и попросят ввести номер из смс Ладно, справедливо. Лэндос с редиректом на оплату действительно могут хакнуть и подменить ссылку на фишинг. Ой чо будет…. Но потом начинается цирк. Форма требует подтвердить, что банк-эквайер — тот самый банк, который прислал вам эту форму — соответствует стандарту PCI DSS. Для этого нужен специальный документ — AOC (Attestation of Compliance), выпущенный не старше года. Который банк вам заранее, конечно, не даёт. Его нужно отдельно запросить. У того же банка. Который попросил вас заполнить форму. Это примерно как если бы ГИБДД остановил вас на дороге и сказал: «Подтвердите, что у меня есть действующее служебное удостоверение. Удостоверение запросите у меня самостоятельно». Рекурсия, короче. Мы из IT — почесали репу, погуглили аббревиатуры, разобрались. А теперь представьте шашлычную «У Ашота», которая подключила оплату картой. Ашот открывает документ, видит Sub-resource Integrity (SRI) и Content Security Policy (CSP) — и всё. Шашлык горит. День пропал. Ашот экзистенциально переосмысливает решение принимать безнал. Если вам пришла такая форма — не паникуйте. Но пару часов (или дней, я пока не понял) жизни и немного веры в человечество она у вас всё равно заберёт. Даёшь больше упрощёнки 🍖