Чи безпечно приймати оплати онлайн: що захищає вас і ваших покупців?

Розбираємося, як насправді захищені онлайн-платежі: PCI DSS, 3D Secure, токенізація, SSL. Що робить платіжний провайдер, а що залежить від власника магазину, і чому це важливо для покупців.

Чи безпечно приймати оплати онлайн: що захищає вас і ваших покупців

Онлайн-платежі через сертифікованих провайдерів часто безпечніші за розрахунки карткою у фізичному магазині. Не тому що магазини ненадійні, а тому що цифрова інфраструктура платежів будувалась з урахуванням безпеки з самого початку.

Інша справа, що “безпечно” - не автоматична властивість будь-якого сайту з кнопкою “оплатити”. Безпека залежить від того, хто обробляє платежі, як налаштований сайт і що робить провайдер для захисту даних.

Розберемося по порядку: що саме захищає платежі, хто за що відповідає і як власнику магазину зрозуміти, що він все зробив правильно.

Чому онлайн-платежі не такі страшні, як здаються

Головне непорозуміння: багато людей думають, що коли покупець вводить дані картки на сайті - ці дані “летять” кудись у відкритому вигляді і теоретично можуть бути перехоплені. Насправді це не так.

Сучасна схема платежів влаштована так, що реальні дані картки взагалі не потрапляють на сервер вашого магазину. Покупець вводить номер картки безпосередньо у захищену форму платіжного провайдера, навіть якщо ця форма візуально “вбудована” у ваш сайт. Провайдер отримує дані, шифрує їх, обробляє транзакцію, і повертає вашому магазину лише статус: “оплачено” або “відхилено”.

Ваш сайт не зберігає номер картки. Ви його ніколи не бачите. Це не вразливість системи - це фундаментальний принцип її роботи.

PCI DSS: стандарт, без якого не можна

PCI DSS (Payment Card Industry Data Security Standard) - це набір вимог безпеки для всіх, хто обробляє карткові платежі. Його розробили самі платіжні системи: Visa, Mastercard, American Express та інші.

Суть проста: якщо ви хочете легально приймати картки, ви або ваш провайдер має відповідати цим вимогам. Вимоги стосуються шифрування даних, захисту мережі, контролю доступу, регулярних аудитів і ще кількох десятків технічних пунктів.

Як це стосується власника магазину:

  • якщо ви приймаєте платежі через сертифікованого провайдера і не зберігаєте карткові дані самостійно - більшість вимог PCI DSS автоматично виконується на боці провайдера
  • якщо ви зберігаєте картки або обробляєте платежі самостійно - вам потрібен власний PCI DSS сертифікат, що коштує часу і грошей
  • саме тому більшість малого і середнього бізнесу використовує готові платіжні рішення, а не пише власні

При виборі провайдера завжди перевіряйте наявність PCI DSS сертифіката - це не формальність, а підтвердження, що система безпеки пройшла незалежний аудит. hutko сертифікований за стандартом PCI DSS, тобто вся інфраструктура обробки платежів відповідає міжнародним вимогам безпеки.

3D Secure: захист від несанкціонованих платежів

3D Secure (або 3DS) - це додатковий рівень перевірки при оплаті карткою онлайн. Коли покупець вводить дані картки, банк надсилає йому одноразовий код на телефон або просить підтвердити платіж у банківському застосунку. Тільки після цього транзакція проходить.

Для покупця це означає: навіть якщо хтось дізнається номер картки, без підтвердження власника платіж не пройде. Для власника магазину - значно менше шахрайських транзакцій і пов'язаних з ними повернень.

Сучасна версія протоколу - 3DS2 - розумніша. Вона аналізує поведінку покупця і в низькоризикових транзакціях може пропустити оплату без додаткового підтвердження. Це баланс між безпекою і зручністю: шахраям складніше, а добросовісним покупцям - простіше.

Токенізація: чому картка «не зберігається»

Токенізація - це заміна реальних даних картки унікальним ідентифікатором (токеном). Токен виглядає як рядок символів, але сам по собі нічого не означає, без відповідної системи провайдера ним не можна скористатись.

Саме завдяки токенізації існують оплата в один клік і рекурентні платежі. Клієнт платить вперше, провайдер зберігає токен. При наступній оплаті використовується токен: клієнт не вводить картку знову, але реальні дані нікуди не передаються.

Для магазину це означає: навіть якщо ваша база даних буде зламана, зловмисники отримають лише токени, які без системи провайдера є марними рядками символів.

SSL і HTTPS: фундамент, без якого нічого не працює

SSL-сертифікат забезпечує шифрування з'єднання між браузером покупця і вашим сайтом. Якщо адреса сайту починається з “https://” і є замочок у браузері - з'єднання зашифроване.

Без SSL жоден серйозний платіжний провайдер не дозволить вам підключити платіжну форму. Сучасні браузери позначають сайти без HTTPS як “небезпечні”, що одразу відлякує частину покупців.

Хороша новина: SSL-сертифікат сьогодні безкоштовний. Більшість хостингів видають його автоматично через Let's Encrypt. Якщо у вас його ще немає - це перше, що варто вирішити.

Що захищає покупця і що захищає продавця

Безпека онлайн-платежів - двостороння. Тут важливо розуміти, хто від чого захищений.

Покупця захищає:

  • 3D Secure - від використання картки без його відома
  • токенізація - дані картки не зберігаються у продавця
  • PCI DSS провайдера - дані обробляються в захищеному середовищі
  • можливість повернення платежу через банк (chargeback), якщо товар не отримано

Продавця захищає:

  • 3DS підтвердження - знижує ризик шахрайських транзакцій і пов'язаних chargebacks
  • антифрод-системи провайдера - автоматичне виявлення підозрілих платежів
  • відсутність карткових даних у своїй системі - знімає відповідальність за їх збереження
  • журнал транзакцій - докази успішних платежів у спірних ситуаціях

Антифрод: як провайдер виявляє підозрілі платежі

Платіжні провайдери не просто “пропускають” транзакції. У кожного серйозного сервісу є власна антифрод-система, яка аналізує кожен платіж у реальному часі.

На що звертає увагу антифрод:

  • географія платежу - картка зареєстрована в Україні, але платіж іде з іншої країни
  • незвично висока сума для цього магазину або клієнта
  • велика кількість спроб оплати за короткий час
  • підозрілі поведінкові патерни на сторінці оплати

Підозрілі транзакції блокуються автоматично або відправляються на додаткову перевірку ще до того, як гроші списуються.

Wix: безпека платежів в умовах закритої платформи

Власники магазинів на Wix мають певну перевагу з точки зору безпеки: закрита екосистема платформи не дозволяє встановлювати довільні скрипти і плагіни. Це означає менше ризиків від неперевіреного стороннього коду.

Але є і зворотна сторона: всі платіжні інтеграції - тільки через Wix App Market. Тому відповідальність за вибір безпечного провайдера повністю лежить на власнику магазину.

На що звертати увагу при виборі провайдера для Wix:

  • наявність PCI DSS сертифіката - обов'язково
  • підтримка 3D Secure і токенізації
  • прозора документація щодо того, як обробляються і зберігаються дані
  • наявність у Wix App Market - гарантія базової перевірки з боку платформи

hutko відповідає всім цим критеріям і присутній у Wix App Market. Покупці Wix-магазинів, які використовують цю інтеграцію, отримують той самий рівень захисту, що й у магазинів на WooCommerce або OpenCart: PCI DSS, 3DS, токенізацію і антифрод.

Що має зробити власник магазину зі свого боку

Навіть при роботі з сертифікованим провайдером є речі, які залежать саме від вас:

  • Увімкнути HTTPS. Без SSL-сертифіката платіжна форма просто не завантажиться, а покупці побачать попередження браузера.
  • Не зберігати карткові дані самостійно. Навіть якщо технічно можливо - не потрібно. Використовуйте токенізацію провайдера.
  • Оновлювати плагін провайдера. Застарілі версії можуть мати вразливості. Більшість провайдерів оновлюють плагіни автоматично - але перевіряйте.
  • Не збирати зайві дані. Якщо для замовлення не потрібна дата народження - не питайте. Менше даних - менше відповідальності.
  • Мати реальні контакти на сайті. Телефон, адреса, назва компанії - це не тільки про довіру покупця, але й про вашу юридичну відповідальність.

Онлайн-платежі - безпечні. Але не самі по собі, а тому що за ними стоїть ціла інфраструктура: PCI DSS, 3D Secure, токенізація, SSL, антифрод. Кожен з цих рівнів закриває конкретну вразливість.

Для власника магазину головне - правильно вибрати провайдера і не намагатись зберігати карткові дані самостійно. Усе інше бере на себе платіжна система.

Фото: hutko.

Реклама, згідно з пунктом 3 статті 9 Закону України №270/96-ВР від 03.07.1996 і Закону України№2849-IX від 31.03.2023