Безопасность эквайринга: PCI DSS и 152‑ФЗ для ИП
Table of contents
Зачем ИП разбираться в безопасности эквайринга
Безопасность эквайринга для ИП — это не только «про банки». Любой предприниматель, принимающий оплату картами в интернете или через POS‑терминал, участвует в обработке платежных и персональных данных клиентов. От этого зависят доверие, конверсия, возвраты платежей и даже штрафы. Правильная настройка безопасности уменьшает мошенничество, упрощает проверку банком и снижает издержки.
Ключевые ориентиры: pci dss для ип эквайринг и исполнение 152‑ФЗ в части персональных данных. Добавьте к ним 3‑D Secure 2.0, антифрод‑правила и базовую «гигиену» ИТ — и вы сильно снизите риски.
PCI DSS 4.0 и 152‑ФЗ: что регулируют и кого касаются
- PCI DSS — международный стандарт безопасности данных держателей карт (Visa, Mastercard, МИР используют совместимые требования). С 31.03.2024 действует версия 4.0, а большинство «будущих» требований стало обязательным с 31.03.2025. Он определяет, как защищать данные карт, сети, приложения, доступы и процессы при приёме платежей.
- 152‑ФЗ — закон «О персональных данных» в РФ. Он требует законных оснований обработки, безопасности ИСПДн, локализации баз в РФ, уведомления Роскомнадзора и соблюдения прав субъектов данных.
Важно: банк‑эквайер и платежный сервис несут основную нагрузку комплаенса. Но ИП обязан соблюдать правила собственной зоны — от выбора схемы приема платежей до защиты сайта и обучения сотрудников.
См. основы работы и варианты подключения в разделах: Виды эквайринга для ИП, Как подключить эквайринг ИП, Условия эквайринга.
Зоны ответственности ИП: интернет и POS
Выбор модели эквайринга напрямую влияет на ваши обязанности по PCI DSS и 152‑ФЗ.
| Сценарий приема платежей |
SAQ (самооценка PCI) |
Что обязан ИП |
Комментарии |
| Интернет‑эквайринг с редиректом на хостed‑страницу провайдера |
SAQ A |
Не собирать/не хранить данные карт на своем домене; защищать сайт, внедрить политики, 3‑D Secure 2.0 |
Минимальная зона ответственности по картданным |
| Встраиваемые хостed‑поля/JS SDK (данные карт идут напрямую провайдеру) |
SAQ A |
Все как выше + контроль целостности фронтенда (CSP, Subresource Integrity) |
Популярен для e‑commerce |
| Собственная платежная форма на сайте |
SAQ A‑EP/D |
Веб‑безопасность, сканирование, WAF, шифрование, логи, управление уязвимостями |
Повышенная ответственность |
| POS‑терминал P2PE (сертифицированный) |
SAQ P2PE |
Физическая безопасность терминала, инструкции персоналу, без хранения картданных |
Минимальный риск на точке |
| POS без P2PE, IP‑подключение |
SAQ B‑IP |
Сегментация сети, обновления, контроль доступа |
Требует сетевой дисциплины |
В любом сценарии по 152‑ФЗ ИП остается оператором персональных данных клиентов (имя, телефон, e‑mail, адрес доставки и т. п.).
PCI DSS для ИП эквайринг: практические шаги
Даже если банк уже сертифицирован, ИП должен контролировать свою часть. Краткий план:
- Сократите область PCI DSS (scope reduction)
- Используйте редирект или хостed‑поля/tokenization — не обрабатывайте данные карт на своем сервере.
- Для POS выбирайте P2PE‑решение — так снимаете обработку пан‑данных с вашей сети.
- Защитите сеть и доступы
- Разделите Wi‑Fi для кассы/терминала и для гостей; запретите прямой выход терминала в интернет, используйте VLAN.
- Обновляйте прошивки терминалов и касс; не используйте дефолтные пароли; включите MFA в админ‑панели и личном кабинете провайдера.
- Шифрование и TLS
- Принудительный HTTPS (TLS 1.2+) на сайте и в админках, HSTS; включите проверку сертификатов на интеграциях.
- Безопасность приложений и контента
- WAF/Cloud‑защита и автообновления CMS/плагинов; CSP и Subresource Integrity для внешних скриптов.
- Логируйте аномалии на сайте и в личном кабинете эквайера, храните логи не менее 1 года.
- Процессы и обучение
- Запретите хранить PAN/CVV где‑либо (в чатах, Excel, CRM). CVV запрещено хранить по PCI DSS.
- Обучите сотрудников распознавать фишинг и подозрительные заказы; заведите план реагирования на инциденты и chargeback.
- Самооценка и подтверждение
- Пройдите релевантный SAQ (A/A‑EP/B‑IP/P2PE/D) и подпишите AOC при запросе банком.
3‑D Secure 2.0 для ИП: как снизить риск и поднять конверсию
3‑D Secure 2.0 для ИП — стандарт аутентификации держателя карты при онлайн‑платежах. Плюсы:
- Меньше фрикций: часть транзакций идет по frictionless‑сценарию без ввода кода.
- Снижение мошенничества и перенос ответственности по спорным операциям (liability shift) в ряде случаев.
- Богатый набор атрибутов для скоринга: устройство, адрес, история и т. п.
Практика:
- Включите 3DS 2.0 по умолчанию и используйте риск‑базированные правила (мелкие постоянные покупки — чаще frictionless; крупные/международные — challenge).
- Настройте прозрачные тексты на странице подтверждения и на e‑mail/смс, чтобы не терять конверсию.
Подробнее об условиях у конкретных банков: Сбербанк эквайринг для ИП, Альфа‑Банк эквайринг для ИП, ВТБ эквайринг для ИП.
Антифрод для интернет‑эквайринга ИП: правила и метрики
Антифрод интернет‑эквайринг ИП — это набор автоматических проверок до списания средств:
- Правила частоты: лимиты по числу попыток с карты/устройства/ИП‑адреса за период.
- География и несовпадения: страна карты vs адрес доставки, прокси/VPN.
- Device fingerprint и поведенческий анализ: скорость ввода, копирование, паттерны.
- Списки: whitelist постоянных клиентов и blacklist риска.
- 3DS‑эскалация: перевод в challenge при риске.
Что мерить:
- Fraud‑rate (по числу и сумме), одобрение банка (approval rate), процент 3DS‑challenge vs frictionless, chargeback ratio.
Советы:
- Начните с «средних» пресетов провайдера, затем адаптируйте под SKU/чеки/географию.
- Обновляйте правила сезонно (акции, праздники) и после инцидентов.
152‑ФЗ для эквайринга ИП: персональные данные клиентов
В эквайринге ИП почти всегда является оператором ПДн. Что важно:
- Правовое основание: договор/оферта с пользователем, исполнение договора, при необходимости — согласие (например, маркетинговые рассылки).
- Локализация: первичный сбор/запись ПДн — на серверах в РФ.
- Уведомление РКН: подайте уведомление и ведите реестр обработки (есть исключения, но для интернет‑торговли чаще всего уведомление требуется).
- Договоры с операторами: заключите договоры поручения с провайдерами (эквайер, хостинг, колл‑центр, CRM), закрепите меры безопасности.
- Безопасность ИСПДн: уровни по ПП РФ № 1119 и меры по Приказу ФСТЭК № 235 (взамен № 21). Минимум — управление доступами, антивирус, журналирование, резервное копирование.
- Права субъекта: политика ПДн на сайте, порядок доступа/удаления (удовлетворяйте запросы в срок).
- Трансграничная передача: оцените адекватность защиты и оформите документы, если задействованы зарубежные сервисы.
Пример «минимума» для ИП:
| Категория |
Что сделать |
| Документы |
Политика ПДн на сайте, назначение ответственного, реестр процессов, согласия (для маркетинга), договоры поручения |
| Техника |
Актуальные ОС/антивирус/обновления, шифрование дисков ноутбуков, резервное копирование, MFA |
| Процедуры |
Регламенты доступа, удаление ПДн по сроку, журналирование и план реагирования |
Материал носит информационный характер и не заменяет юридическую консультацию. Детали — в разделе Юридические аспекты и договор.
Документы, отчеты и как подтвердить соответствие
- PCI DSS: заполненный SAQ (тип зависит от сценария), AOC по запросу банка, политика ИБ, журналы доступа и инцидентов, инструкции персоналу, акты обучения.
- 152‑ФЗ: уведомление РКН, политика ПДн, назначение ответственного, договоры поручения, модель угроз/меры (по 235/1119), регламент обработки запросов субъектов, акты уничтожения/обезличивания.
- Эквайринг: договор с банком/ПСП, описание интеграции, правила антифрода и 3DS, регламент chargeback и возвратов.
Где пригодится: при подключении и ежегодных проверках банка, при запросе РКН, при разборе инцидента с утечкой или мошенничеством.
Типичные ошибки ИП и как их избежать
- Скриншоты карт или CVV в мессенджерах — категорически нельзя. Используйте только официальные платежные страницы.
- Общие пароли и без MFA в личном кабинете эквайера — включите 2FA и разграничьте доступы.
- Терминал в «общем» Wi‑Fi — выделите отдельную сеть/VLAN, запретите гостям доступ к кассовой сети.
- Отключение 3DS «ради конверсии» — лучше настроить антифрод и правильные правила 3DS 2.0.
- Просроченные плагины CMS — включите автообновления, WAF и контроль целостности.
- Отсутствие политики ПДн и уведомления РКН — оформите базовый комплект документов.
Как выбрать безопасного эквайера и что спросить у банка
Чек‑лист вопросов к банку/ПСП:
- Сертификация: актуальный PCI DSS 4.0, список PCI‑решений (в т. ч. P2PE для POS).
- 3‑D Secure 2.0: поддержка, фоллбэк, управление правилами риск‑скоринга.
- Антифрод: доступ к настройкам, ручные/авто‑решения, отчеты, поддержка SCA/ризк‑параметров.
- Интеграция: hosted‑страница/JS SDK/tokenization, webhooks, SDK для CMS.
- Отчеты и логи: выгрузки для расследований, уведомления о попытках мошенничества.
- Поддержка chargeback: сроки, шаблоны возражений, помощь в доказательстве.
- SLA и безопасность: DPA/договор поручения ПДн, дата‑центры в РФ, резервирование.
Сравнить предложения и ставки помогут разделы: Тарифы эквайринга для ИП, Тарифы 2025, Комиссии и расчеты, Калькулятор комиссии. По банкам: Сбербанк, Альфа‑Банк, ВТБ.
Короткий чек‑лист ИП на 30 минут
- Выберите схему с минимальным scope: редирект/hosted fields или P2PE‑терминал.
- Включите 3‑D Secure 2.0 и базовые правила антифрода.
- Включите MFA в кабинете эквайера и CRM, поменяйте дефолтные пароли.
- Разделите сети: гостевой Wi‑Fi отдельно, терминал и касса — в изолированной сети.
- Проверьте сайт: HTTPS+HSTS, обновления CMS, CSP для внешних скриптов.
- Убедитесь, что CVV нигде не хранится, а PAN не попадает в письма/чаты/логи.
- Опубликуйте политику ПДн и подайте уведомление РКН (при необходимости).
Итоги и что делать дальше
Безопасность эквайринга ИП — это комбинация: PCI DSS для зоны обработки карт, 152‑ФЗ для персональных данных, плюс 3‑D Secure 2.0 и антифрод для реального снижения рисков. Выбирайте архитектуру, которая минимизирует вашу ответственность, фиксируйте базовые процессы и регулярно пересматривайте настройки.
Готовы настроить безопасный прием платежей и сэкономить на рисках? Сравните предложения в Тарифах, оцените расходы через Калькулятор и подключите решение в разделе Как подключить эквайринг ИП. Остались вопросы — загляните в FAQ по эквайрингу.