Безопасность платежей: PCI DSS, 3‑D Secure 2.0 и антифрод

Безопасность эквайринга в Сбере — это не один инструмент, а целая архитектура: соответствие PCI DSS, многофакторная аутентификация 3‑D Secure 2.0, антифрод‑правила с фрод‑мониторингом в реальном времени, токенизация карт и безопасные сценарии интеграции. Такой комплекс помогает снижать риск мошенничества и чарджбэков, повышать конверсию и защищать клиентов.

Table of contents

• Зачем бизнесу безопасный эквайринг
• Архитектура защиты
• PCI DSS: стандарт безопасности данных карт
• 3‑D Secure 2.0: меньше трения, больше подтверждений
• Антифрод: правила и фрод‑мониторинг
• Токенизация карт и безопасные кошельки
• Снижение чарджбэков и работа с возвратами
• Безопасность во всех каналах продаж
• Интеграция и API: безопасная передача данных
• Чеклист мерчанта по безопасности
• Частые вопросы и полезные ссылки
• Итоги и что делать дальше

Зачем бизнесу безопасный эквайринг

Надёжная защита платежей — это не только про «не украли деньги». Это про доверие клиентов, стабильную конверсию и предсказуемую экономику платежей. СберЭквайринг сочетает стандарты индустрии и собственные практики безопасности, чтобы:

• уменьшать долю мошеннических операций и операционных потерь;
• обеспечивать соблюдение регуляторных требований и стандартов (PCI DSS, 54‑ФЗ);
• поддерживать высокую авторизацию с минимальным трением для покупателя (3‑D Secure 2.0);
• ускорять разбор спорных операций и снижение чарджбэков.

Узнайте, как безопасность работает для ваших сценариев на страницах решений: Интернет‑эквайринг, Торговый эквайринг, Мобильный эквайринг, СБП‑эквайринг.

Архитектура защиты

Комплекс безопасности включает несколько уровней:

• Сегментация сетей, шифрование и хранение данных карт в защищённых средах.
• Аппаратные HSM‑модули и строгий контроль ключей.
• Логи, трассировка и корреляция событий для расследований инцидентов.
• Безопасная разработка и регулярные тесты на проникновение.
• Обучение персонала и процесс управления инцидентами.

Такая многоуровневая модель делает безопасность эквайринга Сбера устойчивой к ошибкам одного звена и снижает вероятность комплексных атак.

PCI DSS: стандарт безопасности данных карт

Стандарт PCI DSS определяет обязательные требования к защите данных держателей карт. Соответствие PCI DSS в Сбербанке (часто ищут как «pci dss сбербанк») означает, что процессы обработки, передачи и хранения данных карт построены по отраслевым правилам. Важные домены стандарта и практическая польза:

• Защита периметра: брандмауэры, сегментация, принцип наименьших привилегий.
• Шифрование данных карт в транзите и «на покое».
• Управление доступом: уникальные учётные записи, MFA, регулярный аудит.
• Мониторинг и тестирование: журналирование, сканирование уязвимостей, тесты на проникновение.
• Политики безопасности: процедуры, обучение, реакция на инциденты.

Для мерчанта это снижает собственную нагрузку соответствия: вы можете использовать готовые безопасные компоненты, минимизировать сферу ответственности PCI (например, через хост‑форму оплаты) и ускорять прохождение опросников SAQ. Ознакомьтесь с юридическими аспектами и кассовой дисциплиной на странице Документы 54‑ФЗ.

3‑D Secure 2.0: меньше трения, больше подтверждений

3D Secure 2.0 в Сбере («3d secure 2.0 сбер») — это современная аутентификация покупателя, которая повышает одобрение транзакций и защищает от мошенничества. В отличие от 1.0, новая версия передаёт банку‑эмитенту расширенный контекст операции (десятки параметров), что позволяет чаще применять frictionless‑сценарий без ввода кода.

Характеристика	3‑D Secure 1.0	3‑D Secure 2.0
Сценарий	Чаще «жёсткая» проверка с паролем	Чаще frictionless без ввода кода
Данные для оценки риска	Минимальные	Расширенные (устройство, адрес, история и т. п.)
Поддержка мобильных SDK	Ограниченная	Полноценная (лучший UX)
Конверсия	Ниже из‑за трения	Выше при корректной интеграции

Как улучшить долю frictionless и одобрение:

• Передавайте максимум полей 3DS в запросах: e‑mail/телефон, адрес доставки/IP, fingerprint устройства, индикаторы «первый платеж/повторный». См. Интеграции и API.
• Используйте рекуррентные и MIT‑сценарии с корректными индикаторами.
• Согласуйте шаблоны бизнеса (MCC, средний чек, регионы) и правила антифрода.

Антифрод: правила и фрод‑мониторинг

Антифрод‑система объединяет правила (антифрод правила) и фрод‑мониторинг в реальном времени. Цель — блокировать подозрительные операции ещё до авторизации, не мешая легитимным покупателям.

Ключевые механики:

• Правила скорости (velocity): ограничение числа попыток, сумм, карт и IP за период.
• Негативные/позитивные списки: устройства, e‑mail, BIN, страны.
• Сигналы поведенческой аналитики и device fingerprint.
• Комбинация пороговых правил со скоринговой моделью.
• Пост‑мониторинг с обратной связью по спорным операциям.

Гибкая настройка под нишу помогает точнее балансировать между риском и конверсией. Для узких отраслей смотрите Отраслевые решения.

Типовые сигналы риска и действия

Сигнал	Риск	Рекомендованное действие
Много попыток на одну карту/устройство	Тестирование карт	Ввести лимиты/капчу, временный бан, жёсткий 3DS
Несоответствие страны IP и BIN	Перекуп/воровство	Повышение порога риска, обязательный 3DS challenge
Первый заказ, высокий чек, экспресс‑доставка	Перепродажа/угон	Ручная проверка, подтверждение контактов
Несовпадение адресов плательщика и доставки	Подмена получателя	Уточнение данных, запрет на альтернативную доставку

Токенизация карт и безопасные кошельки

Токенизация карт заменяет первичные PAN на токены. Преимущества:

• Снижение зоны PCI для вашего сайта/приложения — храните токены, а не данные карт.
• Автообновление сетевых токенов при перевыпуске карт — выше удержание рекуррентных платежей.
• Поддержка безопасных кошельков (Apple Pay/Google Pay и др.) с биометрией и криптограммами.

Токенизация карт повышает доверие клиентов и уменьшает вероятность компрометации, сохраняя удобство оплаты «в один клик».

Снижение чарджбэков и работа с возвратами

Снижение чарджбэков — это совместная работа антифрода, корректной 3DS‑аутентификации и прозрачного клиентского сервиса.

Практики, которые работают:

• Чёткие описания товаров/услуг и условий доставки/отмены на сайте.
• Узнаваемое название мерчанта в выписке (descriptor), быстрые ответы поддержки.
• 3‑D Secure 2.0 для спорных категорий и высоких чеков.
• Документирование согласия на рекуррентные списания (MIT/CIT индикаторы).
• Своевременные частичные/полные возвраты без доведения до спора.

Подробнее о процедурах возврата и представлениях спорных операций — на странице Возвраты и чарджбэки. Проверьте также сроки поступления средств в разделе Выплаты и зачисления.

Безопасность во всех каналах продаж

Безопасность эквайринга Сбера покрывает все ключевые каналы:

• E‑commerce: 3‑D Secure 2.0, токенизация, антифрод и безопасные API — см. Интернет‑эквайринг.
• POS: EMV, бесконтактные платежи, шифрование от терминала до процессинга — см. Терминалы и Торговый эквайринг.
• mPOS/курьеры: защищённые мобильные решения — см. Мобильный эквайринг.
• СБП: переводы по номеру телефона/QR с подтверждением в приложении банка — см. СБП‑эквайринг.

Интеграция и API: безопасная передача данных

Корректная интеграция напрямую влияет на безопасность и конверсию:

• Используйте защищённые SDK/виджеты и хост‑страницы, чтобы не обрабатывать PAN на своём сервере.
• Передавайте расширенный контекст для 3DS 2.0 (адрес, контакты, поведенческие параметры) — это повышает долю frictionless.
• Храните секреты (API‑ключи, вебхуки) в менеджерах секретов, включайте подпись и верификацию вебхуков.
• Применяйте идемпотентность запросов, ретраи с джиттером, аудит логов.

Технические детали и примеры — в разделе Интеграции и API. Узнайте условия в Тарифах и начните настройку через Подключение.

Чеклист мерчанта по безопасности

• TLS 1.2+/HSTS на всём домене, отсутствие смешанного контента.
• Ролевая модель доступа к админкам, MFA для сотрудников и партнёров.
• Обновления CMS/плагинов, WAF/бот‑защита, защита от XSS/SQLi.
• reCAPTCHA/пороговые лимиты на попытки оплаты и форму логина.
• Логирование действий админов и операций, хранение логов не менее 6–12 месяцев.
• Политика паролей и ротация ключей, контроль утечек.
• Разумная ретенция персональных данных и маскирование в журналах.
• Процедуры KYC/AML и верификация высокорискованных заказов.
• Регулярные сверки по спорным операциям и обучение поддержки.

Частые вопросы и полезные ссылки

• Как подключить 3‑D Secure 2.0 и передавать расширенные параметры? — См. Интеграции и API и FAQ.
• Как быстрее получать зачисления и видеть статусы? — Раздел Выплаты и зачисления.
• Как оформить документы и кассовую дисциплину? — Документы 54‑ФЗ.
• Куда обратиться за консультацией и аудитом интеграции? — Контакты.

Итоги и что делать дальше

Безопасность платежей — это постоянный процесс: соответствие PCI DSS, внедрение 3‑D Secure 2.0, работа антифрода, токенизация карт и дисциплина интеграций. В результате растёт доверие клиентов, снижается уровень мошенничества и повышается конверсия авторизаций.

Готовы усилить безопасность и конверсию прямо сейчас? Выберите формат приёма платежей, изучите Тарифы и оставьте заявку на Подключение. Если есть вопросы — мы на связи в разделе Контакты.