Наверх
Платежные решения для всех типов интернет-бизнеса
← Все материалы раздела
26.01.2017

Восемь советов для безопасного приема оплат на сайте

У вас есть сайт? Люди совершают на нем покупки? И оплачивают их? А вы уверены, что вам можно доверять? Что платежные данные ваших клиентов надежно защищены? Если есть сомнения – ознакомьтесь с чек-листом, подготовленным процессинговым центром PayOnline для своих клиентов.

Прием платежей на сайте

Для тех, кто только начинает заниматься электронной коммерцией, защита платежных данных может показаться очень сложной «материей», но на самом деле все проще, чем кажется. PayOnline советует лишь придерживаться восьми простых правил.

Не храните платежные данные ваших покупателей

Хранить платежные данные покупателя нельзя – это аксиома. А некоторые данные на стороне интернет-магазина хранить запрещается на международном уровне – к таким данным относится, например, CVV код. У малого бизнеса нет ресурсов на серьезную работу в направлении информационной безопасности – и в итоге 95% утечек данных карт приходится именно на него. Лучший способ «обойти» проблему – избавиться от данных клиента сразу после завершения покупки. А если уж вам необходимо по каким-то причинам хранить информацию, например, имя клиента или его контактные данные – обеспечьте этим данным максимальную защиту – их облачное хранение и шифрование, чтобы злоумышленник не мог ни получить, ни расшифровать и прочитать их.

Также в соответствии с Законом о кредитных транзакциях
Fair and Accurate Credit Transaction Act of 2003 (FACTA), не разрешается включать полные номера банковских карт и дату истечения их срока действия в электронный чек, который высылается покупателю после совершения оплаты. Можно передать лишь маску карты – например, последние пять цифр номера, не разглашая его полностью.

Выберите надежный платежный сервис для обработки оплат на сайте

Несмотря на все требования к безопасности, не все платежные агрегаторы, шлюзы и эквайеры обеспечивают одинаково надежный уровень защиты платежей. В поисках процессинга платежей выбирайте только проверенных подрядчиков – тех, у кого есть многолетний опыт и хорошие отзывы, кто открыто рассказывает обо всех уровнях защиты как интернет-магазина, так и их покупателей. Не гонитесь за низкими ставками комиссии – высокое качество сервиса и гарантированная безопасность не могут стоить дешево.

Учитесь и учите своих сотрудников

В подавляющем большинстве случаев в утечке данных виноват человеческий фактор. Даже если ваш бизнес соответствует всем требованиям безопасности и имеет топовую систему защиты, вы всё равно будете подвергать данные своих клиентов опасности – до тех пор, пока не научитесь сами и не научите своих сотрудников основным правилам.

Можно начать с рассказа коллективу сотрудников о последних угрозах безопасности и рисках. Очень важно донести до сотрудников информацию о том, что нельзя открывать прикрепленные файлы в письмах от неизвестных отправителей, оставлять устройства, содержащие рабочую информацию или доступ к ней, без внимания и защиты – компьютеры, ноутбуки, смартфоны, флешки в USB разъемах.

Проверяйте платежи и личность плательщика

Говоря о верификации (проверке и авторизации) платежей, стоит упомянуть несколько способов сделать это – даже при онлайн оплате:

  • Обязательно требуйте ввода CVV кода.
  • Проверяйте заказы на наличие «странностей». Если ваш постоянный клиент вдруг делает заказ в разы больше, чем обычно – свяжитесь с ним для подтверждения, например, по телефону.
  • Обращайте внимание на мелочи – странный email адрес, адрес доставки, уже известный случаями мошенничества.
  • Не пренебрегайте 3DS – он не сильно вредит конверсии, но избавляет от возможных проблем, связанных с мошенническими действиями.
Защитите свою IT инфраструктуру

Даже если вы заранее позаботились о пунктах, перечисленных выше – работаете только через TLS (стандартный криптографический протокол, с помощью которого можно надежно защитить передаваемые данные) и обучаете сотрудников основам информационной безопасности – вы все еще не полностью избавлены от рисков. «Ахиллесовой пятой» вашей инфраструктуры могут оказаться, например, ваш сетевой хостинг или ваши серверы. Имея фаервол (межсетевой экран), можно уменьшить риск таких угроз. Также необходимо обзавестись системой обнаружения или предотвращения вторжений (IDS и IPS соответственно). Они будут мониторить и блокировать весь сомнительный трафик.

Обновите все системы

Не секрет, что устаревшие системы более уязвимы для кибер атак. Будь то популярная CMS, SQL, PHP или ваш антивирусный софт, вы должны убедиться, что обновление было загружено сразу после его релиза. Обычно эти обновления происходят автоматически, но лучше периодически проверять, какой версией системы вы пользуетесь.

Используйте шифрование и токенизацию

По мнению Эдриана Лейна, CTO компании Securosis, главное различие между шифрованием и токенизацией состоит в том, как они обращаются с данными, которые должны переместить. Токенизация достает данные из системы и перемещает их вместе со связанными с ними значениями. Шифрование - это «запутывающий» или «засекретивающий» инструмент. Это значит, что оригинальная информация остается неизменной, но недоступной без особого ключа.

С токенизацией вы не беспокоитесь о том, что кто-то взломает вашу систему и получит доступ к исходным данным, или что ключ админа будет скомпроментирован. Храня любые данные, убедитесь, что они зашифрованы. Также вы можете принимать платежи через электронные кошельки, которые шифруют данные, или криптовалюты, такие как биткоины, использующие токены вместо номеров карт и банковских счетов.

Проверяйте себя по стандарту PCI DSS

Стандарт PCI DSS - это сборник правил, выполнение которых предусмотрено в индустрии платежных карт Советом по стандартам безопасности. Если вы принимаете, обрабатываете, храните или передаете данные кредитных карт, тогда эти правила и стандарты должны быть применены и к вам, чтобы обеспечить вашим клиентам защиту информации. Даже если вы не планируете получать сертификат, вы можете провериться – абсолютно бесплатно, ответив на вопросы анкеты Self-Assessment Questionnaire (SAQ).
Калькулятор тарифа

Рассчитайте примерный размер комиссии за интернет-эквайринг с учетом особенностей вашего бизнеса.

Компания зарегистрирована
Тип бизнеса
Страна
Ежемесячный оборот
Ежемесячный оборот
Ежемесячный оборот
Ежемесячный оборот
Ежемесячный оборот
Ежемесячный оборот
Ежемесячный оборот

По предварительным расчетам ваша эквайринговая комиссия составит


Плата за транзакцию:
Абонентская плата:
Данный расчет является предварительным.
Более точную информацию вы сможете получить после подачи заявки.
E-Commerce
Другие отрасли
Месячный
оборот, руб.
Ставка
комиссии
Абонентская
плата, руб.
< 100 тыс. 2,9% 2990
100–200 тыс. 2,9% 1990
200–300 тыс. 2,9% 990
300–500 тыс. 2,9% 0
0,5–1 млн 2,8% 0
Месячный
оборот, руб.
Ставка
комиссии
Абонентская
плата, руб.
1–5 млн 2,7% 0
5–10 млн 2,6% 0
10–20 млн 2,5% 0
20–50 млн 2,45% 0
более 100 млн индивидуальные условия
Месячный оборот, руб. ЖКХ Авиакассы GDS
< 1 млн 1,5%* 2,3%* 0,8%
1–3 млн 1,4% 2,2% 0,7%
3–10 млн 1,3% 2,1% 0,6%
10–30 1,2% 2,0% 0,5%
30–100 1,1% 1,9% 0,4%
*Абонентская плата 1990 руб./мес. при обороте менее 400 000 руб.
Европа
Казахстан
Кыргызстан, Таджикистан
Азия
Месячный оборот безналичных платежей, € Ставка комиссии
(EUR, USD, GBP, PLN, CZK, DKK, NOK, SEK)*
Ставка комиссии
(RUB, CHF)*
< 50 тыс. 2,7% 3,2%
50 тыс. – 150 тыс. 2,6% 3,1%
> 150 тыс. 2,5% 3,0%
* При среднем чеке ниже 25€ взимается дополнительная плата за транзакцию в размере 0,15€.
Месячный оборот безналичных платежей, тенге Ставка комиссии
< 5 млн 2,8%
5 – 15 млн 2,6%
15 – 25 млн 2,5%
> 25 млн Индивидуальные условия
Страна Ставка коммиссии
Кыргызстан 4,0%
Таджикистан 4,0%
Месячный оборот безналичных платежей, $ Ставка комиссии
(HKD, USD, EUR, SGD, RUB, JPY, CNY)
Стоимость транзакции, $
< 50 тыс. 4,5% 0,30
50 тыс. – 150 тыс. 4,2% 0,30
> 150 тыс. 3,8% 0,30

В таблице представлены базовые тарифы. Ваша ставка может быть ниже – узнайте ее, подав заявку на подключение.

Внимание! Все расчеты являются предварительными! Более точную информацию вы сможете получить после подачи заявки на подключение.