Онлайн-платежі — це зручно, але небезпечно без правильного юридичного та технічного захисту. Хакерські атаки, фішинг, витік даних карток — це лише частина реальних ризиків, з якими стикаються українські бізнеси. У цій статті ми зібрали головні вимоги до безпеки онлайн-платежів — від НБУ до міжнародних стандартів.
Юридичний захист онлайн-платежів в Україні базується на Законі «Про платіжні послуги», положеннях НБУ та вимогах до фінансових установ. У ЄС діє PSD2 — директива про платіжні послуги, що вимагає двофакторної аутентифікації. Будь-який сервіс, який приймає оплату, має дотримуватись цих норм. Порушення = санкції, блокування рахунків або повна заборона діяльності через банк.
Міжнародним стандартом безпеки платіжних карток є PCI DSS. Він обов’язковий для всіх, хто приймає або обробляє платіжні дані. Окрім цього, технологія 3D Secure (Verified by Visa, Mastercard SecureCode) забезпечує підтвердження операції клієнтом у його банківському додатку або через SMS. Без цього платежі можуть бути відхилені, а бізнес — втратити клієнтів.
Онлайн-магазини, додатки, платформи повинні впроваджувати базові протоколи безпеки: шифрування, токенізація, двофакторна аутентифікація, контроль сесій. Звичайне розміщення форми оплати без HTTPS — вже порушення. Також рекомендується використовувати пісочниці для тестів, обмеження IP, Captcha, логування всіх дій користувача та контроль ризикованих операцій (сума, країна, новий браузер).
Важливо не тільки мати безпечну систему, але й інформувати користувача: яка інформація збирається, як вона зберігається, які гарантії надаються. Це робиться через політику конфіденційності, Terms of Use та pop-up повідомлення на етапі оплати. Відсутність цих документів може бути підставою для судового спору — навіть без витоку даних.
Так, для тих, хто зберігає або обробляє дані платіжних карт. Найпростіше — працювати через сертифікованого партнера (Fondy, WayForPay).
Формально — ні. Банки все частіше відхиляють платежі без цього протоколу для захисту користувача.
Технічно — ні, бо обробка даних відбувається на боці сервісу. Але юридично відповідальний все одно ти, якщо клієнт подасть скаргу.
Так. Це обов’язково за GDPR, PSD2 і законом України «Про захист персональних даних».
В Україні — від 17 000 до 51 000 грн. У ЄС — до €20 млн або 4% від обороту. А також репутаційні втрати.
Защита интеллектуальной собственности Мы можем проконсультировать Вас в регистрации товарного знака, получения патента на промышленный образец, регистрации песен, да и во многих объектах интеллектуальной собственности. Интеллектуальная собственност...
Read more
Телефонні дзвінки шахраїв "від банку": як захистити себе? Телефонні шахрайства стають все більш поширеними. Шахраї телефонують, представляючись співробітниками банку, щоб отримати конфіденційну інформацію, яка дозволить їм здійснити фінансові махіна...
Read more