Безопасность эквайринга: PCI DSS, 3‑D Secure 2.0 и антифрод

Table of contents

• Риски онлайн‑платежей и базовые принципы защиты
• PCI DSS: уровни, SAQ и минимизация периметра
• 3‑D Secure 2.0 и риск‑базовая аутентификация
• Антифрод: правила, скоринг и ручная проверка
• Токенизация, карта‑он‑файл и безопасность хранения
• Защита API и вебхуков
• Персональные данные и 152‑ФЗ
• Мониторинг инцидентов и план реагирования
• Чек‑лист безопасности перед запуском

Риски онлайн‑платежей и базовые принципы защиты

Ключевые угрозы: подбор карт (card testing), похищенные данные, friendly‑fraud (оспаривание клиентом), бот‑атаки, фишинг и утечки ключей. Базовые практики: principle of least privilege, сегментация, audit‑лог, регулярная ротация ключей и обновления зависимостей.

PCI DSS: уровни, SAQ и минимизация периметра

• Стремитесь к SAQ A: используйте hosted‑страницу провайдера и не касайтесь PAN/CVV.
• Если встраиваемая форма — SAQ A‑EP; при полной обработке — SAQ D с аудитором.
• Минимизируйте среду обработки: не логируйте чувствительные поля, не отправляйте карты в свои backend‑журналы, отключите аналитические скрипты на платежной форме, если они могут перехватывать ввод.

3‑D Secure 2.0 и риск‑базовая аутентификация

3DS2 снижает трение за счет передачи эмитенту контекста (device, адрес, история). Рекомендации:

• Передавайте как можно больше параметров в авторизацию.
• Включите frictionless‑порог для low‑risk операций (на стороне эмитента).
• Обработайте fallback на 3DS1/челленджи без потери UX.

Антифрод: правила, скоринг и ручная проверка

Скомбинируйте несколько слоев:

• Правила: лимиты по сумме/скорости, запрет подозрительных BIN/стран, блокировка одноразовых email.
• МЛ‑скоринг/устройства: device fingerprint, поведенческий анализ.
• Ручная проверка: выборочные заказы по триггерам (высокая сумма, множественные попытки, несовпадение IP/адреса).
• Интервенции: 3DS‑форсирование, запрос доп. подтверждений, отмена до отгрузки.

Токенизация, карта‑он‑файл и безопасность хранения

• Храните токены у провайдера, а не PAN.
• Обновляйте токены (card updater), реализуйте безопасное повторное списание (MIT/CIT).
• Четко фиксируйте согласие клиента на рекуррентные списания в оферте и уведомляйте о предстоящих платежах.

Защита API и вебхуков

• Подпись сообщений (HMAC), верификация сертификатов, фиксированные IP или mTLS, idempotency‑ключи.
• Дедупликация вебхуков и ретраи по экспоненте.
• Секреты храните в vault (HashiCorp Vault, KMS), ротация минимум раз в 90 дней.

Персональные данные и 152‑ФЗ

• Определите цели и состав персональных данных, назначьте ответственного (DPO).
• Храните минимум, шифруйте PII, разграничьте доступы, согласия — через чекбоксы и политику конфиденциальности.
• Учитывайте трансграничную передачу данных при международных платежах.

Мониторинг инцидентов и план реагирования

• Метрики: fraud‑rate, chargeback‑rate, 3DS success rate, error rate по коду.
• Playbooks: что делать при утечке ключей, росте fraud‑rate, падении конверсии авторизации.
• Учения: tabletop‑exercises, регулярные пост‑мортемы.

Чек‑лист безопасности перед запуском

• SAQ A/A‑EP заполнен, область PCI минимизирована.
• HSTS, TLS 1.2+, корректные ciphers; WAF/бот‑защита.
• Секреты в vault, логи без PAN/CVV, вебхуки подписаны.
• 3DS2 включен, антифрод‑правила с пилотной стратегией.

Следуя этим практикам, вы снижаете риск мошенничества и соблюдаете требования стандартов, не жертвуя конверсией.