В интернет‑торговле безопасный прием платежей — это сочетание технологий и соблюдения норм. Для российского бизнеса критичны три опоры: стандарт PCI DSS для защиты карточных данных, онлайн‑кассы по 54‑ФЗ и правила обработки персональных данных по 152‑ФЗ. Разберем, как совместить требования, выстроить практичную архитектуру и повысить конверсию без риска. Ключевая тема — pci dss эквайринг и безопасность онлайн платежей 54‑ФЗ 152‑ФЗ на реальных примерах.
Материал носит справочный характер и не заменяет юридическую консультацию.
Три обязательных направления соответствия в онлайн‑эквайринге:
| Регуляция | Что регулирует | Для кого критично | Риски при несоблюдении |
|---|---|---|---|
| PCI DSS | Безопасность обработки, передачи и хранения данных платежных карт | Интернет‑магазины, платежные провайдеры, банки‑эквайреры | Утечки карт, штрафы платежных систем, блокировка приема карт |
| 54‑ФЗ | Применение онлайн‑кассы, фискализация и отправка электронных чеков через ОФД | Любые продавцы, принимающие оплату от физлиц онлайн | Штрафы, блокировка расчетов, претензии от покупателей |
| 152‑ФЗ | Правомерность и безопасность обработки персональных данных (ПДн) | Все сайты, собирающие ПДн (ФИО, телефон, e‑mail, адрес и т. п.) | Предписания, существенные штрафы, ограничения Роскомнадзора |
Начинать лучше с выбора модели интеграции и провайдера эквайринга: это определит глубину зоны PCI DSS и архитектуру фискализации. Сравнить варианты поможет раздел Сравнение провайдеров эквайринга и обзор Онлайн‑эквайринг для сайта.
![Схема потоков: покупатель — сайт — платежный шлюз — банк‑эквайрер — платежная система — ОФД — онлайн‑касса — e‑mail/SMS чек]
В e‑commerce участвуют:
Ключевая задача — не допустить того, чтобы пан (номер карты) и CVV «касались» инфраструктуры магазина. Это радикально уменьшает требования PCI DSS и риски. Подробнее о технических нюансах сайта — в статье Требования к сайту для эквайринга и в руководстве по выбору движка сайта.
Стандарт PCI DSS обязателен для всех, кто «хранит, обрабатывает или передает» данные карт. Для интернет‑магазинов чаще всего применимы сокращенные анкеты самооценки SAQ (Self‑Assessment Questionnaire) — тип зависит от интеграции.
| Вариант интеграции | Тип SAQ | Что это значит на практике |
|---|---|---|
| Hosted Payment Page/редирект на платежную страницу провайдера | SAQ A | Карточные данные полностью обрабатываются у провайдера. Задача магазина — политика безопасности, обучение, корректные настройки сайта, отсутствие хранения карт. |
| Встраиваемый iFrame/виджет провайдера | SAQ A или A‑EP (зависит от реализации) | Если поля ввода полностью из домена провайдера — чаще SAQ A. Если страница мерчанта может повлиять на процесс — SAQ A‑EP (потребуются регулярные сканы ASV, усиленная защита веб‑части). |
| Собственная платежная форма, POST на провайдера | SAQ A‑EP | Ужесточаются требования к веб‑безопасности, мониторингу, сканированию уязвимостей и журналированию. |
| Прием и обработка карточных данных на стороне магазина (full API) | SAQ D | Полный объем PCI DSS: сегментация сети, инвентаризация, шифрование, IDS/IPS, тесты на проникновение и пр. |
Рекомендация: стремиться к модели SAQ A (редирект или безопасный iFrame). Это облегчает соответствие, ускоряет запуск и снижает стоимость. В любом случае нельзя хранить PAN и CVV у себя; используйте tokenization эквайринг у провайдера.
Подробности для популярных CMS: WordPress/WooCommerce, 1C‑Битрикс, OpenCart, Tilda, CS‑Cart.
Три «обязательных» инструмента современного интернет‑эквайринга:
Онлайн касса 54‑ФЗ требует пробивать чеки и передавать их через ОФД при расчетах с покупателями. В онлайне есть нюансы:
Практическая рекомендация: синхронизировать статусы «оплата» ↔ «чек» на уровне интеграции (webhook → API кассы). Проверьте тарифы на фискализацию и эквайринг в разделе Тарифы и комиссии эквайринга.
Закон 152‑ФЗ регулирует сбор, хранение и обработку ПДн. Это не только «аккаунты» — уже форма заказа с e‑mail и телефоном подпадает под 152‑ФЗ. Ключевые практики:
Фраза для ориентирования: пдн обработка 152‑фз — это про законность, прозрачность и технические меры защиты. Проверьте, требуется ли уведомление Роскомнадзора (в большинстве случаев интернет‑магазины обязаны его подать).
| Область | Магазин | Платежный провайдер | Банк‑эквайрер | ОФД/ККТ |
|---|---|---|---|---|
| PCI DSS | Выбор безопасной интеграции, SAQ, политика, веб‑защита | Сертификация PCI DSS Level 1, токенизация, шифрование | Верификация мерчанта, риск‑контроль | — |
| 3‑D Secure | Настройки правил, UI/UX, обработка soft decline | Реализация 3DS 2.x, RBA | Поддержка Directory Server | — |
| Фискализация (54‑ФЗ) | Корректные данные в чеке, интеграция | Вебхуки статусов, автопечать чека (если есть сервис) | — | Обработка чека и передача в ФНС |
| ПДн (152‑ФЗ) | Согласия, политика, договоры поручения | Статус оператора‑порученца, защита ПДн | — | — |
| Антифрод/чарджбеки | Правила, общение с покупателем | Скоринг, антифрод‑движок | Правила оспаривания | — |
Шаги к безопасному запуску:
Частые ошибки: хранение «масок» и CVV у себя, устаревшие модули оплаты, отсутствие чека при предавторизации/капчуре, лишние персональные поля в формах, отсутствие публичной политики ПДн.
Свести воедино PCI DSS, 54‑ФЗ и 152‑ФЗ — реально: выбирайте интеграцию, где карточные данные не попадают на ваш сервер, подключайте 3DS 2.0, используйте токены и автоматизируйте фискализацию. Поддерживайте прозрачные процессы обработки ПДн и минимизацию данных.
Готовы настроить безопасный эквайринг с высокой конверсией? Оставьте заявку в разделе Подключить интернет‑эквайринг — поможем выбрать провайдера, спроектировать архитектуру и пройти соответствие быстрее.