Безопасность платежей: PCI DSS, 3‑D Secure 2.0 и антифрод
Безопасность эквайринга в Сбере — это не один инструмент, а целая архитектура: соответствие PCI DSS, многофакторная аутентификация 3‑D Secure 2.0, антифрод‑правила с фрод‑мониторингом в реальном времени, токенизация карт и безопасные сценарии интеграции. Такой комплекс помогает снижать риск мошенничества и чарджбэков, повышать конверсию и защищать клиентов.
Зачем бизнесу безопасный эквайринг
Надёжная защита платежей — это не только про «не украли деньги». Это про доверие клиентов, стабильную конверсию и предсказуемую экономику платежей. СберЭквайринг сочетает стандарты индустрии и собственные практики безопасности, чтобы:
- уменьшать долю мошеннических операций и операционных потерь;
- обеспечивать соблюдение регуляторных требований и стандартов (PCI DSS, 54‑ФЗ);
- поддерживать высокую авторизацию с минимальным трением для покупателя (3‑D Secure 2.0);
- ускорять разбор спорных операций и снижение чарджбэков.
Узнайте, как безопасность работает для ваших сценариев на страницах решений: Интернет‑эквайринг, Торговый эквайринг, Мобильный эквайринг, СБП‑эквайринг.
Архитектура защиты
Комплекс безопасности включает несколько уровней:
- Сегментация сетей, шифрование и хранение данных карт в защищённых средах.
- Аппаратные HSM‑модули и строгий контроль ключей.
- Логи, трассировка и корреляция событий для расследований инцидентов.
- Безопасная разработка и регулярные тесты на проникновение.
- Обучение персонала и процесс управления инцидентами.
Такая многоуровневая модель делает безопасность эквайринга Сбера устойчивой к ошибкам одного звена и снижает вероятность комплексных атак.
PCI DSS: стандарт безопасности данных карт
Стандарт PCI DSS определяет обязательные требования к защите данных держателей карт. Соответствие PCI DSS в Сбербанке (часто ищут как «pci dss сбербанк») означает, что процессы обработки, передачи и хранения данных карт построены по отраслевым правилам. Важные домены стандарта и практическая польза:
- Защита периметра: брандмауэры, сегментация, принцип наименьших привилегий.
- Шифрование данных карт в транзите и «на покое».
- Управление доступом: уникальные учётные записи, MFA, регулярный аудит.
- Мониторинг и тестирование: журналирование, сканирование уязвимостей, тесты на проникновение.
- Политики безопасности: процедуры, обучение, реакция на инциденты.
Для мерчанта это снижает собственную нагрузку соответствия: вы можете использовать готовые безопасные компоненты, минимизировать сферу ответственности PCI (например, через хост‑форму оплаты) и ускорять прохождение опросников SAQ. Ознакомьтесь с юридическими аспектами и кассовой дисциплиной на странице Документы 54‑ФЗ.
3‑D Secure 2.0: меньше трения, больше подтверждений
3D Secure 2.0 в Сбере («3d secure 2.0 сбер») — это современная аутентификация покупателя, которая повышает одобрение транзакций и защищает от мошенничества. В отличие от 1.0, новая версия передаёт банку‑эмитенту расширенный контекст операции (десятки параметров), что позволяет чаще применять frictionless‑сценарий без ввода кода.
| Характеристика |
3‑D Secure 1.0 |
3‑D Secure 2.0 |
| Сценарий |
Чаще «жёсткая» проверка с паролем |
Чаще frictionless без ввода кода |
| Данные для оценки риска |
Минимальные |
Расширенные (устройство, адрес, история и т. п.) |
| Поддержка мобильных SDK |
Ограниченная |
Полноценная (лучший UX) |
| Конверсия |
Ниже из‑за трения |
Выше при корректной интеграции |
Как улучшить долю frictionless и одобрение:
- Передавайте максимум полей 3DS в запросах: e‑mail/телефон, адрес доставки/IP, fingerprint устройства, индикаторы «первый платеж/повторный». См. Интеграции и API.
- Используйте рекуррентные и MIT‑сценарии с корректными индикаторами.
- Согласуйте шаблоны бизнеса (MCC, средний чек, регионы) и правила антифрода.
Антифрод: правила и фрод‑мониторинг
Антифрод‑система объединяет правила (антифрод правила) и фрод‑мониторинг в реальном времени. Цель — блокировать подозрительные операции ещё до авторизации, не мешая легитимным покупателям.
Ключевые механики:
- Правила скорости (velocity): ограничение числа попыток, сумм, карт и IP за период.
- Негативные/позитивные списки: устройства, e‑mail, BIN, страны.
- Сигналы поведенческой аналитики и device fingerprint.
- Комбинация пороговых правил со скоринговой моделью.
- Пост‑мониторинг с обратной связью по спорным операциям.
Гибкая настройка под нишу помогает точнее балансировать между риском и конверсией. Для узких отраслей смотрите Отраслевые решения.
Типовые сигналы риска и действия
| Сигнал |
Риск |
Рекомендованное действие |
| Много попыток на одну карту/устройство |
Тестирование карт |
Ввести лимиты/капчу, временный бан, жёсткий 3DS |
| Несоответствие страны IP и BIN |
Перекуп/воровство |
Повышение порога риска, обязательный 3DS challenge |
| Первый заказ, высокий чек, экспресс‑доставка |
Перепродажа/угон |
Ручная проверка, подтверждение контактов |
| Несовпадение адресов плательщика и доставки |
Подмена получателя |
Уточнение данных, запрет на альтернативную доставку |
Токенизация карт и безопасные кошельки
Токенизация карт заменяет первичные PAN на токены. Преимущества:
- Снижение зоны PCI для вашего сайта/приложения — храните токены, а не данные карт.
- Автообновление сетевых токенов при перевыпуске карт — выше удержание рекуррентных платежей.
- Поддержка безопасных кошельков (Apple Pay/Google Pay и др.) с биометрией и криптограммами.
Токенизация карт повышает доверие клиентов и уменьшает вероятность компрометации, сохраняя удобство оплаты «в один клик».
Снижение чарджбэков и работа с возвратами
Снижение чарджбэков — это совместная работа антифрода, корректной 3DS‑аутентификации и прозрачного клиентского сервиса.
Практики, которые работают:
- Чёткие описания товаров/услуг и условий доставки/отмены на сайте.
- Узнаваемое название мерчанта в выписке (descriptor), быстрые ответы поддержки.
- 3‑D Secure 2.0 для спорных категорий и высоких чеков.
- Документирование согласия на рекуррентные списания (MIT/CIT индикаторы).
- Своевременные частичные/полные возвраты без доведения до спора.
Подробнее о процедурах возврата и представлениях спорных операций — на странице Возвраты и чарджбэки. Проверьте также сроки поступления средств в разделе Выплаты и зачисления.
Безопасность во всех каналах продаж
Безопасность эквайринга Сбера покрывает все ключевые каналы:
Интеграция и API: безопасная передача данных
Корректная интеграция напрямую влияет на безопасность и конверсию:
- Используйте защищённые SDK/виджеты и хост‑страницы, чтобы не обрабатывать PAN на своём сервере.
- Передавайте расширенный контекст для 3DS 2.0 (адрес, контакты, поведенческие параметры) — это повышает долю frictionless.
- Храните секреты (API‑ключи, вебхуки) в менеджерах секретов, включайте подпись и верификацию вебхуков.
- Применяйте идемпотентность запросов, ретраи с джиттером, аудит логов.
Технические детали и примеры — в разделе Интеграции и API. Узнайте условия в Тарифах и начните настройку через Подключение.
Чеклист мерчанта по безопасности
- TLS 1.2+/HSTS на всём домене, отсутствие смешанного контента.
- Ролевая модель доступа к админкам, MFA для сотрудников и партнёров.
- Обновления CMS/плагинов, WAF/бот‑защита, защита от XSS/SQLi.
- reCAPTCHA/пороговые лимиты на попытки оплаты и форму логина.
- Логирование действий админов и операций, хранение логов не менее 6–12 месяцев.
- Политика паролей и ротация ключей, контроль утечек.
- Разумная ретенция персональных данных и маскирование в журналах.
- Процедуры KYC/AML и верификация высокорискованных заказов.
- Регулярные сверки по спорным операциям и обучение поддержки.
Частые вопросы и полезные ссылки
Итоги и что делать дальше
Безопасность платежей — это постоянный процесс: соответствие PCI DSS, внедрение 3‑D Secure 2.0, работа антифрода, токенизация карт и дисциплина интеграций. В результате растёт доверие клиентов, снижается уровень мошенничества и повышается конверсия авторизаций.
Готовы усилить безопасность и конверсию прямо сейчас? Выберите формат приёма платежей, изучите Тарифы и оставьте заявку на Подключение. Если есть вопросы — мы на связи в разделе Контакты.
