Segurança

• O host valida event.origin contra allowedPostMessageOrigins/kycFrontOrigin.
• O iframe é criado com allow="camera; geolocation; microphone; clipboard-write; fullscreen" e referrerpolicy="origin".