Segurança IFrame e CORS

Eu tenho uma pergunta genérica na qual estou tentando obter um pouco de informação.

Eu tenho um servidor e nesse servidor eu tenho um formulário da web que é enviado para uma API.

Uma empresa terceirizada possui um servidor e precisa hospedar meu formulário. Como tal, eles colocam meu formulário na página deles.

Existe alguma maneira possível para a empresa terceirizada obter os dados inseridos no formulário contido no iframe? Os logs do Apache registrarão os dados? Eles podem fazer algo em seu servidor que possa ajudá-los a obter dados?

Meu servidor é seguro, não permitirá o CORS ou qualquer coisa desse tipo. A questão é se eles podem fazer algo do seu lado para obter os dados inseridos?

questionAnswers(1)

yourAnswerToTheQuestion