CloudPayments
Войти

Безопасность онлайн‑платежей: PCI DSS, 3‑D Secure 2 и антифрод

Получить CloudPayments бесплатно

Безопасность онлайн‑платежей: PCI DSS, 3‑D Secure 2 и антифрод

Зачем бизнесу безопасность онлайн платежей

Безопасность онлайн платежей — это не только про защиту денег клиента и снижение чарджбеков. Это репутация бренда, доступ к лучшим тарифам эквайринга и стабильная конверсия. Банк‑эквайер охотнее одобряет проект, если видит зрелые процессы: 3‑D Secure 2, антифрод для эквайринга, корректную работу с токенами и комплаенс PCI DSS для сайта. Правильная архитектура снижает риски утечек и уменьшает количество ручной проверки транзакций.

Если вы только выбираете поставщика, начните с сравнения провайдеров и их мер безопасности — см. раздел Выбор платежного провайдера: сравнение и пошаговую инструкцию по подключению.

PCI DSS для сайта: уровни, SAQ и сокращение зоны ответственности

PCI DSS — индустриальный стандарт безопасности данных карт (Visa, Mastercard, МИР поддерживают совместимые требования). Его цель — исключить хранение открытых PAN/CVV на стороне мерчанта и зафиксировать процессы защиты.

Ключ к снижению затрат — вынести обработку карт на защищенные формы провайдера, чтобы перейти в упрощенные анкеты самооценки (SAQ).

Получить CloudPayments бесплатно
Модель/SAQ Где вводятся данные карты Объем требований Типичная интеграция Когда выбрать
SAQ A На хостинге провайдера, iFrame/Hosted Page Минимальный Хостed checkout/переадресация Если UX позволяет редирект/встраивание
SAQ A‑EP На вашей странице, но данные уходят напрямую провайдеру (JS) Средний JavaScript SDK, direct post Если важен нативный checkout
SAQ D (полный) На ваших серверах Максимальный Собственный сбор карт, серверная обработка Практически не рекомендуется для SMB

Чем ближе вы к SAQ A, тем меньше зона ответственности: меньше требований к сети, логированию, сканированию и аудиту. Если вы встраиваете собственные формы, готовьтесь к SAQ A‑EP и более строгим контролям (WAF, сегментация сети, регулярные ASV‑сканы).

Дополнительно обратите внимание на:

  • Шифрование в транзите (TLS 1.2+), HSTS и актуальные шифросuites.
  • CSP и SRI для защиты платежных скриптов от подмены.
  • Раздельные хранилища секретов (KMS/HSM) и принцип наименьших полномочий.
  • Регулярное обновление SAQ: saq a saq a-ep отличаются списком контролей, уточняйте актуальную версию у провайдера.

Полезно: прием карт и кошельков — в разделе Банковские карты, Apple Pay, Google Pay; юридическая часть — KYC/регистрация ИП/ООО/самозанятые.

3‑D Secure 2: как работает и что учитывать при настройке

3‑D Secure 2 — современная аутентификация держателя карты, которая поддерживает сценарии без трения (frictionless) и запрос вызова‑челленджа (challenge). Она помогает выполнить sca аутентификация, особенно важную для международных платежей.

Основы:

  • Фрикционлес: эмитенту достаточно данных устройства/сеанса, и платеж проходит без ввода кода.
  • Челлендж: банк запрашивает подтверждение (код, push в приложении, биометрия).
  • Много данных = выше доля frictionless. Передавайте device fingerprint, историю покупок, адрес, email, shipping/billing совпадение, индикатор первого/повторного платежа.

3-d secure 2 настройка включает:

  • Подключение 3DS серверов провайдера и корректной версионности SDK.
  • Отладку сценариев ошибки/фолбэка на 3DS 1.
  • Передачу расширенных полей RBA (risk‑based authentication).

![Схема прохождения 3‑D Secure 2 с ветками Frictionless и Challenge]

Для повышения конверсии согласуйте с провайдером оптимальные профили: какие поля обязательны, какие — опциональны, и как влияет недоставка чека (54‑ФЗ) и возвраты. См. UX‑советы в разделе Checkout: UX и конверсия и фискализацию — Онлайн‑касса, 54‑ФЗ, ОФД.

Антифрод для эквайринга: сигналы, правила и машинное обучение

Антифрод для эквайринга опирается на совокупность сигналов и скоринг‑моделей. Задача — найти баланс между защитой и конверсией.

Базовые сигналы:

  • Поведение: скорость кликов, глубина просмотра, время на странице, редактирование полей.
  • Технические: device fingerprint, версия ОС/браузера, прокси/VPN/эмуляторы, аномальная геолокация.
  • История: частота неуспешных платежей, возвраты, связь по email/телефону/адресу.
  • Платежные: BIN‑страна vs IP‑страна, AVS/CVV, первая транзакция, сумма/валюта.

Практики настройки:

  • Настройте fraud velocity правила: ограничение количества попыток по карте/IP/устройству за период (например, 3 попытки за 10 минут), лимиты суммы в час/сутки.
  • Используйте позитивные/негативные списки (white/blacklists) на email, телефон, карту, BIN, IP ASN.
  • Включайте 3DS для подозрительных наборов признаков, а для постоянных клиентов — больше frictionless.
  • Проверьте риск‑профили для рекуррентных платежей и триалов, чтобы не создавать лишнее трение.

Полезные материалы: про возвраты и чарджбеки — Возвраты, чарджбеки и претензии. Для мультивалютных и трансграничных рисков — Мультивалюта, налоги, валютный контроль.

Токенизация и безопасная работа с картами

Токенизация снимает с мерчанта необходимость хранить PAN. Провайдер выдает токен, с которым вы проводите повторные списания и биллинги.

Рекомендации:

  • Хранение токенов карт только в зашифрованном виде и минимум личных данных рядом (email, masked PAN, срок действия — при необходимости). Не храните CVV.
  • Ограничьте доступ к операциям по токенам RBAC‑правами и аудитом.
  • Поддерживайте безопасную отвязку токена по запросу клиента и автоматическую по сроку действия.

Для подписок и автоплатежей см. раздел Рекуррентные платежи и подписки. Кошельки Apple Pay/Google Pay дополнительно снижают риск компрометации — смотрите карты и Pay‑кошельки.

Технические практики: идемпотентность, вебхуки и защита каналов

Стабильная интеграция — часть безопасности: меньше дублей платежей и меньше ручных вмешательств.

  • Идемпотентность запросов: присваивайте уникальный ключ операции и повторяйте запросы безопасно (например, при сетевых сбоях). Это исключает двойные списания и гонки. Реализация — через заголовки/ключи API, см. API интеграция: server‑to‑server и webhooks.
  • Надежные вебхуки: подпись сообщений (HMAC), повторная доставка, верификация источника по IP/DNS/TLS‑пиннингу.
  • Таймауты/ретраи: настраивайте экспоненциальные повторы с дедупликацией по идемпотентному ключу.
  • Снижение атаки на интерфейс: WAF, rate limiting, защита от брутфорса формы оплаты и админки, капчи адаптивно.
  • Безопасность фронта: CSP, SRI для платежных скриптов, изоляция iFrame, подавление автозаполнения чувствительных полей.
  • Логирование: без чувствительных данных (no PAN/CVV), только токены/маски; централизованный SIEM и алерты.

Проверьте сценарии в песочнице и вебхуки на сбои — раздел Тестирование: sandbox, вебхуки, запуск.

Организационные меры и соответствие требованиям

Технологии бесполезны без процессов:

  • KYC/KYB и верификация мерчанта — снижает риск мошенничества на стороне продавца (см. Юридические требования).
  • Управление доступами: MFA для админов, ротация ключей, принцип наименьших прав, раздельные PROD/STAGE.
  • Регулярные сканы уязвимостей и ASV‑сканирование (для SAQ A‑EP и выше).
  • Обучение команды фишингу и безопасной работе с данными.
  • План реагирования на инциденты: SLA, контакты банка/провайдера, шаблоны уведомлений.

Интеграция и тестирование: от песочницы до запуска

Перед продом пройдите чек‑листы:

  • Позитивные кейсы: оплата, отмена, частичный/полный возврат, рекуррентный платеж, 3DS frictionless и challenge.
  • Негативные: отклонение банком, истекшая карта, неверный CVV, возврат после закрытия смены.
  • Хуки: повтор доставки, подпись, отработка идемпотентности.
  • Границы антифрода: срабатывание velocity‑правил, стоп‑листы, лимиты сумм.

Параллельно оцените экономику — секция Тарифы, комиссии и калькулятор эквайринга — и сценарии с альтернативными методами: СБП/QR‑оплата.

CMS и мобильные приложения: особенности безопасности

Плагины ускоряют запуск, но безопасность — в деталях:

  • WordPress/WooCommerce — используйте проверенный плагин и обновления, читайте гайд по интеграции WooCommerce.
  • 1C‑Битрикс — проверьте совместимость модулей и кэш, разделение прав — см. интеграция Битрикс.
  • Tilda и OpenCart — настраивайте переадресацию на защищенную платежную страницу, смотрите Tilda и OpenCart.
  • Мобильные SDK — упрощают 3DS и токены на iOS/Android, см. Мобильные SDK. Следите за безопасным хранением ключей и проверками целостности приложения.

Если вы строите агрегатор/маркетплейс — добавьте KYC продавцов, сплит и эскроу, расширенные антифрод‑профили. Подробнее — Маркетплейсы, SaaS, White‑label.

Чек‑лист безопасного запуска платежей

  • Определите модель сбора карт: Hosted (SAQ A) или JS (SAQ A‑EP). Зафиксируйте PCI DSS для сайта в политике безопасности.
  • Настройте 3‑D Secure 2: сбор расширенных параметров, fallback‑сценарии, UX на ошибках.
  • Включите антифрод: device fingerprint, fraud velocity правила, стоп‑листы, правила 3DS по риску.
  • Реализуйте идемпотентность запросов, надежные вебхуки и мониторинг событий.
  • Организуйте хранение токенов карт и доступы по RBAC, с аудитом.
  • Проведите тестирование в песочнице, включая негативные сценарии и чарджбеки.
  • Обновите юридические документы: оферта, политика конфиденциальности, описание возвратов.
  • Подготовьте команду поддержки: скрипты на отказ/возврат, маршрутизация кейсов к банку.

Итоги и следующий шаг

Грамотная безопасность онлайн платежей — это комбинация PCI DSS, 3‑D Secure 2, сильного антифрода и дисциплины разработки. За счет SAQ A/А‑EP вы сокращаете зону ответственности, 3DS 2 повышает одобрение без лишнего трения, а антифрод минимизирует ущерб и чарджбеки.

Готовы усилить платежи? Сравните провайдеров в разделе Выбор платежного провайдера: сравнение и следуйте нашей инструкции по подключению. Для детальной интеграции загляните в API и вебхуки и пройдите тестирование в песочнице. Безопасный старт — лучшая инвестиция в конверсию и доверие клиентов.

Получить CloudPayments бесплатно