Безопасность онлайн‑платежей: PCI DSS, 3‑D Secure 2 и антифрод

Table of contents

• Зачем бизнесу безопасность онлайн платежей
• PCI DSS для сайта: уровни, SAQ и сокращение зоны ответственности
• 3‑D Secure 2: как работает и что учитывать при настройке
• Антифрод для эквайринга: сигналы, правила и машинное обучение
• Токенизация и безопасная работа с картами
• Технические практики: идемпотентность, вебхуки и защита каналов
• Организационные меры и соответствие требованиям
• Интеграция и тестирование: от песочницы до запуска
• CMS и мобильные приложения: особенности безопасности
• Чек‑лист безопасного запуска платежей
• Итоги и следующий шаг

Зачем бизнесу безопасность онлайн платежей

Безопасность онлайн платежей — это не только про защиту денег клиента и снижение чарджбеков. Это репутация бренда, доступ к лучшим тарифам эквайринга и стабильная конверсия. Банк‑эквайер охотнее одобряет проект, если видит зрелые процессы: 3‑D Secure 2, антифрод для эквайринга, корректную работу с токенами и комплаенс PCI DSS для сайта. Правильная архитектура снижает риски утечек и уменьшает количество ручной проверки транзакций.

Если вы только выбираете поставщика, начните с сравнения провайдеров и их мер безопасности — см. раздел Выбор платежного провайдера: сравнение и пошаговую инструкцию по подключению.

PCI DSS для сайта: уровни, SAQ и сокращение зоны ответственности

PCI DSS — индустриальный стандарт безопасности данных карт (Visa, Mastercard, МИР поддерживают совместимые требования). Его цель — исключить хранение открытых PAN/CVV на стороне мерчанта и зафиксировать процессы защиты.

Ключ к снижению затрат — вынести обработку карт на защищенные формы провайдера, чтобы перейти в упрощенные анкеты самооценки (SAQ).

Модель/SAQ	Где вводятся данные карты	Объем требований	Типичная интеграция	Когда выбрать
SAQ A	На хостинге провайдера, iFrame/Hosted Page	Минимальный	Хостed checkout/переадресация	Если UX позволяет редирект/встраивание
SAQ A‑EP	На вашей странице, но данные уходят напрямую провайдеру (JS)	Средний	JavaScript SDK, direct post	Если важен нативный checkout
SAQ D (полный)	На ваших серверах	Максимальный	Собственный сбор карт, серверная обработка	Практически не рекомендуется для SMB

Чем ближе вы к SAQ A, тем меньше зона ответственности: меньше требований к сети, логированию, сканированию и аудиту. Если вы встраиваете собственные формы, готовьтесь к SAQ A‑EP и более строгим контролям (WAF, сегментация сети, регулярные ASV‑сканы).

Дополнительно обратите внимание на:

• Шифрование в транзите (TLS 1.2+), HSTS и актуальные шифросuites.
• CSP и SRI для защиты платежных скриптов от подмены.
• Раздельные хранилища секретов (KMS/HSM) и принцип наименьших полномочий.
• Регулярное обновление SAQ: saq a saq a-ep отличаются списком контролей, уточняйте актуальную версию у провайдера.

Полезно: прием карт и кошельков — в разделе Банковские карты, Apple Pay, Google Pay; юридическая часть — KYC/регистрация ИП/ООО/самозанятые.

3‑D Secure 2: как работает и что учитывать при настройке

3‑D Secure 2 — современная аутентификация держателя карты, которая поддерживает сценарии без трения (frictionless) и запрос вызова‑челленджа (challenge). Она помогает выполнить sca аутентификация, особенно важную для международных платежей.

Основы:

• Фрикционлес: эмитенту достаточно данных устройства/сеанса, и платеж проходит без ввода кода.
• Челлендж: банк запрашивает подтверждение (код, push в приложении, биометрия).
• Много данных = выше доля frictionless. Передавайте device fingerprint, историю покупок, адрес, email, shipping/billing совпадение, индикатор первого/повторного платежа.

3-d secure 2 настройка включает:

• Подключение 3DS серверов провайдера и корректной версионности SDK.
• Отладку сценариев ошибки/фолбэка на 3DS 1.
• Передачу расширенных полей RBA (risk‑based authentication).

![Схема прохождения 3‑D Secure 2 с ветками Frictionless и Challenge]

Для повышения конверсии согласуйте с провайдером оптимальные профили: какие поля обязательны, какие — опциональны, и как влияет недоставка чека (54‑ФЗ) и возвраты. См. UX‑советы в разделе Checkout: UX и конверсия и фискализацию — Онлайн‑касса, 54‑ФЗ, ОФД.

Антифрод для эквайринга: сигналы, правила и машинное обучение

Антифрод для эквайринга опирается на совокупность сигналов и скоринг‑моделей. Задача — найти баланс между защитой и конверсией.

Базовые сигналы:

• Поведение: скорость кликов, глубина просмотра, время на странице, редактирование полей.
• Технические: device fingerprint, версия ОС/браузера, прокси/VPN/эмуляторы, аномальная геолокация.
• История: частота неуспешных платежей, возвраты, связь по email/телефону/адресу.
• Платежные: BIN‑страна vs IP‑страна, AVS/CVV, первая транзакция, сумма/валюта.

Практики настройки:

• Настройте fraud velocity правила: ограничение количества попыток по карте/IP/устройству за период (например, 3 попытки за 10 минут), лимиты суммы в час/сутки.
• Используйте позитивные/негативные списки (white/blacklists) на email, телефон, карту, BIN, IP ASN.
• Включайте 3DS для подозрительных наборов признаков, а для постоянных клиентов — больше frictionless.
• Проверьте риск‑профили для рекуррентных платежей и триалов, чтобы не создавать лишнее трение.

Полезные материалы: про возвраты и чарджбеки — Возвраты, чарджбеки и претензии. Для мультивалютных и трансграничных рисков — Мультивалюта, налоги, валютный контроль.

Токенизация и безопасная работа с картами

Токенизация снимает с мерчанта необходимость хранить PAN. Провайдер выдает токен, с которым вы проводите повторные списания и биллинги.

Рекомендации:

• Хранение токенов карт только в зашифрованном виде и минимум личных данных рядом (email, masked PAN, срок действия — при необходимости). Не храните CVV.
• Ограничьте доступ к операциям по токенам RBAC‑правами и аудитом.
• Поддерживайте безопасную отвязку токена по запросу клиента и автоматическую по сроку действия.

Для подписок и автоплатежей см. раздел Рекуррентные платежи и подписки. Кошельки Apple Pay/Google Pay дополнительно снижают риск компрометации — смотрите карты и Pay‑кошельки.

Технические практики: идемпотентность, вебхуки и защита каналов

Стабильная интеграция — часть безопасности: меньше дублей платежей и меньше ручных вмешательств.

• Идемпотентность запросов: присваивайте уникальный ключ операции и повторяйте запросы безопасно (например, при сетевых сбоях). Это исключает двойные списания и гонки. Реализация — через заголовки/ключи API, см. API интеграция: server‑to‑server и webhooks.
• Надежные вебхуки: подпись сообщений (HMAC), повторная доставка, верификация источника по IP/DNS/TLS‑пиннингу.
• Таймауты/ретраи: настраивайте экспоненциальные повторы с дедупликацией по идемпотентному ключу.
• Снижение атаки на интерфейс: WAF, rate limiting, защита от брутфорса формы оплаты и админки, капчи адаптивно.
• Безопасность фронта: CSP, SRI для платежных скриптов, изоляция iFrame, подавление автозаполнения чувствительных полей.
• Логирование: без чувствительных данных (no PAN/CVV), только токены/маски; централизованный SIEM и алерты.

Проверьте сценарии в песочнице и вебхуки на сбои — раздел Тестирование: sandbox, вебхуки, запуск.

Организационные меры и соответствие требованиям

Технологии бесполезны без процессов:

• KYC/KYB и верификация мерчанта — снижает риск мошенничества на стороне продавца (см. Юридические требования).
• Управление доступами: MFA для админов, ротация ключей, принцип наименьших прав, раздельные PROD/STAGE.
• Регулярные сканы уязвимостей и ASV‑сканирование (для SAQ A‑EP и выше).
• Обучение команды фишингу и безопасной работе с данными.
• План реагирования на инциденты: SLA, контакты банка/провайдера, шаблоны уведомлений.

Интеграция и тестирование: от песочницы до запуска

Перед продом пройдите чек‑листы:

• Позитивные кейсы: оплата, отмена, частичный/полный возврат, рекуррентный платеж, 3DS frictionless и challenge.
• Негативные: отклонение банком, истекшая карта, неверный CVV, возврат после закрытия смены.
• Хуки: повтор доставки, подпись, отработка идемпотентности.
• Границы антифрода: срабатывание velocity‑правил, стоп‑листы, лимиты сумм.

Параллельно оцените экономику — секция Тарифы, комиссии и калькулятор эквайринга — и сценарии с альтернативными методами: СБП/QR‑оплата.

CMS и мобильные приложения: особенности безопасности

Плагины ускоряют запуск, но безопасность — в деталях:

• WordPress/WooCommerce — используйте проверенный плагин и обновления, читайте гайд по интеграции WooCommerce.
• 1C‑Битрикс — проверьте совместимость модулей и кэш, разделение прав — см. интеграция Битрикс.
• Tilda и OpenCart — настраивайте переадресацию на защищенную платежную страницу, смотрите Tilda и OpenCart.
• Мобильные SDK — упрощают 3DS и токены на iOS/Android, см. Мобильные SDK. Следите за безопасным хранением ключей и проверками целостности приложения.

Если вы строите агрегатор/маркетплейс — добавьте KYC продавцов, сплит и эскроу, расширенные антифрод‑профили. Подробнее — Маркетплейсы, SaaS, White‑label.

Чек‑лист безопасного запуска платежей

• Определите модель сбора карт: Hosted (SAQ A) или JS (SAQ A‑EP). Зафиксируйте PCI DSS для сайта в политике безопасности.
• Настройте 3‑D Secure 2: сбор расширенных параметров, fallback‑сценарии, UX на ошибках.
• Включите антифрод: device fingerprint, fraud velocity правила, стоп‑листы, правила 3DS по риску.
• Реализуйте идемпотентность запросов, надежные вебхуки и мониторинг событий.
• Организуйте хранение токенов карт и доступы по RBAC, с аудитом.
• Проведите тестирование в песочнице, включая негативные сценарии и чарджбеки.
• Обновите юридические документы: оферта, политика конфиденциальности, описание возвратов.
• Подготовьте команду поддержки: скрипты на отказ/возврат, маршрутизация кейсов к банку.

Итоги и следующий шаг

Грамотная безопасность онлайн платежей — это комбинация PCI DSS, 3‑D Secure 2, сильного антифрода и дисциплины разработки. За счет SAQ A/А‑EP вы сокращаете зону ответственности, 3DS 2 повышает одобрение без лишнего трения, а антифрод минимизирует ущерб и чарджбеки.

Готовы усилить платежи? Сравните провайдеров в разделе Выбор платежного провайдера: сравнение и следуйте нашей инструкции по подключению. Для детальной интеграции загляните в API и вебхуки и пройдите тестирование в песочнице. Безопасный старт — лучшая инвестиция в конверсию и доверие клиентов.