PCI DSS — это набор стандартов безопасности данных индустрии платежных карт, призванный защитить конфиденциальную информацию держателей карт. Для бизнеса, который принимает оплату картами, соблюдение требований PCI означает снижение рисков утечек, мошенничества и штрафов со стороны платежных систем и банков. Для клиентов это гарантия того, что их карточные данные хранятся и передаются безопасно.
Если вы используете Оплата через ЮKassa или интеграции с банками, например Сбербанк ЮKassa, понимание PCI критично для надежной работы сервиса.
PCI DSS включает 12 ключевых требований, сгруппированных по направлениям:
Коротко: организация должна минимизировать объем систем, которые хранят или обрабатывают PAN, и убедиться, что все такие системы находятся под контролем и защитой.
Kassa Yoo предоставляет инструменты и интеграции, которые помогают снизить объем данных, за который отвечает ваш магазин. Основные подходы:
Подробнее о технической интеграции и вариантах подключения вы можете узнать в разделе Интеграция API и Подключение.
H3: Шифрование в транзите и покое
Все передаваемые данные карточек должны шифроваться при передаче (TLS) и храниться в зашифрованном виде, если хранение необходимо. Kassa Yoo использует современные протоколы шифрования для всех платежных коммуникаций.
H3: Токенизация
Токенизация заменяет реальные PAN на уникальные токены, которые бессмысленны вне вашей среды. Это позволяет автоматизировать повторные платежи и возвраты без хранения карточных данных, что упрощает соответствие PCI.
H3: Минимизация хранения
Лучший способ снизить нагрузку по соответствию — не хранить PAN вовсе. Если требуется хранение рекуррентных платежей, то хранение выполняется только в виде токенов.
Технические решения важны, но не менее важны процессы и обучение персонала. Рекомендуемые практики:
Эффективная организация работы снижает человеческие факторы, которые часто становятся причиной инцидентов.
Ниже таблица, которая поможет выбрать модель интеграции с учетом требований PCI.
| Модель обработки | Описание | Уровень ответственности по PCI |
|---|---|---|
| Redirect (переадресация) | Клиент вводит данные на странице провайдера платежей | Низкая — провайдер отвечает за хранение данных |
| iFrame / Hosted Fields | Элемент ввода данных загружается с сервера провайдера | Низкая/средняя — часть отвественности у провайдера |
| API + локальное хранение | Данные проходят через ваш сервер | Высокая — вы обязаны соответствовать PCI полностью |
| Токенизация | PAN не хранится в явном виде, используются токены | Средняя — упрощает соответствие, но требует защиты токенов |
Эта таблица поможет вам выбрать подход, в зависимости от того, насколько вы готовы нести ответственность за безопасность. Подробные варианты оплаты и методы можно посмотреть в разделе Платежные методы.
Если у вас возникают технические вопросы, служба поддержки Kassa Yoo поможет в разделе Поддержка и troubleshooting.
В зависимости от объема операций и модели обработки, вашему бизнесу может потребоваться заполнение SAQ (Self-Assessment Questionnaire) или прохождение внешнего аудита QSA. Шаги подготовки:
Если нужна помощь в подготовке документов и отчетов, посмотрите разделы Отчеты и сверка и FAQ.
Эти материалы помогут вам выстроить комплексную систему безопасности платежей.
Соответствие требованиям PCI — это не однократная задача, а постоянный процесс, включающий технические и организационные меры. Используя подходы, описанные выше, и инструменты Kassa Yoo, вы можете существенно снизить риски и упростить прохождение проверок. Начните с минимизации хранения PAN, внедрите токенизацию и организуйте регулярные аудиты.
Хотите обсудить, какая модель интеграции подойдет вашему бизнесу и как минимизировать зону ответственности по PCI? Свяжитесь с нами через страницу Подключение или изучите технические варианты в Интеграция API.