Как сделать покупки клиентов безопасными: чек-лист из 8 важнейших пунктов для владельцев интернет-магазинов

Фото: KOSIM/Фотобанк Lori

Основное требование к покупкам онлайн у клиентов — безопасное проведение платежа и сохранность банковских данных. В этом заинтересован и сам интернет-магазин, ведь хищение информации и последующее списание средств мошенниками в результате взлома базы делают площадку соучастником преступления.

Воспользуйтесь чек-листом от экспертов компании Method и проверьте, все ли пункты соблюдены в обеспечении безопасности платежной системы вашего сайта.

1. Проверяйте наличие сертификата стандарта безопасности данных PCI DSS

Все интегрированные платежные системы интернет-магазина должны иметь сертификат стандарта безопасности данных индустрии платежных карт (PCI DSS). Он был учрежден международными платежными системами для защиты данных и установил отраслевые требования обработки платежей. Сертификация PCI DSS позволяет работать с банками напрямую через их платежные интерфейсы и исключать переход на сторонние сайты. Такая самостоятельная работа с банками накладывает и обязательство: сертифицированная компания несет ответственность за мошеннические операции при обработке данных.

Обладатели сертификата PCI DSS обязаны выстраивать собственную систему мониторинга и анти-фрод системы. Платежные агрегаторы обязаны ежегодно проходить аудит для подтверждения сертификации и статуса своего соответствия всем требованиям безопасности.

2. Используйте проверенные агрегаторы платежей и безопасные платежные шлюзы

Большинство интернет-магазинов используют агрегаторы платежей для перевода денег от клиентов на свой счет. В отличие от банковского эквайринга, который работает только с картами, платежный агрегатор — решение универсальное. Он предлагает покупателю широкий выбор инструментов оплаты: карты банков, оплату через Систему быстрых платежей, платежные системы (Яндекс Pay, МИР Pay, МТС Pay, SberPay и другие), средства со счета мобильного телефона, опцию оплаты долями (BNPL-сервисы), а также включает варианты оплаты картой или наличными при получении.

В основе работы платежного агрегаторы лежит шлюз, от которого зависит безопасность платежей и вариативность оплаты (чем функциональнее шлюз, тем больше способов приема оплаты он предложит). Шлюзы работают по защищенным протоколам — это исключает передачу данных о транзакции третьим лицам.

Примеры агрегаторов для подключения к российским интернет-магазинам: ЮKassa, Robokassa, Paygine, Unitpay, CloudPayments, "Единая касса", PayMaster, FREEKASSA, PayKeeper, PayAnyWay, PayOnline и другие.

Выбор агрегатора платежей будет зависеть от статуса вашего магазина (формат юридического или физического лица, ИП, самозанятости, резидента или нерезидента РФ), сравнения комиссии за услуги и функционала, географии работы (для платежей внутри страны лучше выбрать отечественные сервисы), легкости интеграции с сайтом магазина.

Важно и то, что у самого платежного агрегатора могут быть требования к магазину, который собирается принимать оплату у себя на сайте через его сервис.

3. При оплате переводов через СБП проверяйте статус НСПК у платежного сервиса

Система быстрых платежей стремительно развивается в России после ухода иностранных платежных систем: в 2023 году россияне совершили более 7 млрд операций через СБП на общую сумму 31 трлн рублей. Сегодня российский покупатель ожидает увидеть вариант оплаты через СБП на каждом сайте, поэтому важно предложить его в числе других опций.

Сторонний платежный сервис, который предлагает в числе вариантов оплат перевод через СБП, обязан иметь статус аккредитованного агента Национальной системы платежных карт (НСПК). Он означает, что компания получила официальное признание со стороны НСПК и стала ее доверенным партнером для приема платежей через СБП. Статус дает компании возможность напрямую подключаться к банкам-эмитентам и предлагать своим клиентам удобные способы оплаты (QR-коды, а также специальные ссылки для оплаты в мессенджерах и социальных сетях).

В процессе приема платежей через СБП каждая транзакция подтверждается внутри банка клиента. Без подтверждения клиента внутри приложения банка, где он хочет завершить клиентскую сессию через СБП, повторное списание невозможно.

 Артем Журавлев, директор продукта Method

4. Внедрите строгую аутентификацию клиента и контроль доступа с многофакторной аутентификацией

Вне зависимости от того, что покупает клиент на вашем сайте — рассаду для цветов или машину — данные его банковских карт и личные данные аккаунта должны быть защищены. Один из способов снизить риски кражи денег и утечки данных — строгая аутентификация клиента. Например, двухфакторная. Ее используют многие сервисы, мессенджеры и социальные сети. Подойдет она и для входа в онлайн-магазин.

Двухфакторная аутентификация — метод идентификации пользователя. Он основан на двух "ключах". Один из них пользователь создает и запоминает — это пара логин/пароль для входа на сайт. Другим ключом становится его SIM-карта, на которую приходит подтверждающее сообщение для входа на сайт (обычно числовой код).

Этот метод защиты позволяет сохранить данные аккаунта даже в том случае, если мошенники получат доступ к логину и паролю. Получить необходимый для входа код они не смогут из-за отсутствия SIM-карты.

5. Применяйте токенизацию для дополнительной защиты платежных данных клиентов

Токенизация — ключевой элемент безопасности в современных платежных решениях. Она позволяет не хранить реальные данные карты клиента, что значительно снижает риски мошенничества и утечек данных. Вместо этого используется токен — уникальный зашифрованный идентификатор, который заменяет собой информацию о карте и обеспечивает безопасные транзакции.

Работает токенизация следующим образом: при первичной привязке карты к платежному интерфейсу онлайн-магазина система запрашивает у покупателя данные карты и после успешного подтверждения через аутентификацию (например, через SMS) шифрует их и преобразует в токен. Токен становится уникальным ключом, который соответствует карте. При следующей оплате система будет уже использовать токен вместо реальных данных карты, поэтому даже при потенциальной утечке преступники увидят только закодированный ключ вместо реальных банковских данных.

Использование токенизации позволяет клиенту оплачивать повторные покупки или услуги без ввода данных карты. Более того, можно настроить автоматическое списание средств без дополнительного подтверждения, как это уже делают многие российские маркетплейсы или операторы коммунальных услуг. Многие пользователи соглашаются на это, чтобы не тратить время на подтверждение каждой операции.

Токенизация происходит не только на уровне карты, но и привязывается к устройству, с которого пользователь совершает покупку. Если клиент соглашается "запомнить карту", токен хранится на его устройстве (в файлах cookie). При повторном использовании того же устройства данные карты вводить уже не потребуется. Если же пользователь вводит свой номер телефона при первой транзакции, система привязывает токен карты к номеру телефона, что тоже очень удобно для пользователя.

Артем Журавлев, директор продукта Method

Процессы токенизации строго регулируются мерами кибербезопасности. На сегодняшний день токенизация в платежных сервисах считается одним из самых надежных способов обезопасить банковские данные клиента. Пользователю эти процессы не видны, но они играют важную роль в обеспечении плавного и защищенного платежного опыта.

6. Защищайте данные клиентов протоколами шифрования SSL и TLS

Криптографические протоколы SSL/TLS выполняют роль охранника в вашем магазине, только виртуального. Они оба обеспечивают защищенную передачу данных и сохранность паролей, номеров кредитных карт во время просмотра веб-страниц и покупок.

Работу SSL-протокола обеспечивает SSL-сертификат, установленный на сайте магазина. Протокол позволяет безопасно соединить сервер и браузер вашего покупателя: благодаря ему все данные передаются по HTTPS в зашифрованном виде, который невозможно раскодировать без специального ключа. После установки SSL-сертификата ваш сайт подает определенный сигнал покупателю о том, что его данные находятся под защитой: адрес начинается с зеленых символов "https://" и значка запертого замка.

TLS — улучшенная версия SSL с использованием более совершенных криптографических методов. Переход с SSL на TLS стал эволюцией в протоколах безопасности интернета.

Применение протоколов безопасности принципиально для некоторых браузеров: к примеру, Google лучше ранжирует сайты с SSL-сертификацией, а сайты без сертификации помечает как незащищенные.

7. Внутри сайта вашего магазина должен лежать безопасный код

Ошибки в коде сайта онлайн-магазина буквально открывают двери киберпреступникам. Во время атак они используют так называемые "дыры" и "костыли" в коде и с их помощью получают полный контроль над уязвимыми системами, крадут конфиденциальные данные или вызывают "отказ в обслуживании" при операциях на сайте. Самые критичные ошибки указаны в классификаторах CWE Top-25 и OWASP Top-10 Cloud-Native. Каждая уязвимость из этих рейтингов может быть использована для атак на приложения магазинов и их сайты и приводить к утечкам данных ваших клиентов.

Главное рекомендация в этом пункте чек-листа безопасности — привлекать для создания сайтов и приложений высокопрофессиональных разработчиков, работать с проверенными IT-компаниями и регулярно проводить проверку кода на уязвимости.

8. Мониторьте и сканируйте уязвимости

Качественная киберзащита— обязательное условие для существования современных онлайн-магазинов. В 2024 году эксперты по безопасности фиксируют до 260 тысяч кибератак на российские онлайн-магазины в сутки. Базы данных онлайн-маркетов выглядят очень привлекательно для преступников, поэтому становятся целью их кибератак. В первом полугодии 2024 года утечки баз данных компаний, специализирующихся на розничной торговле, составили почти 30% от общего числа утечек за это время.

Мониторинг системы и сканирование уязвимостей становится базовым требованием безопасности даже для небольших интернет-магазинов. Регулярные проверки безопасности рекомендуется проводить силами собственных специалистов по кибербезопасности или пользоваться услугами экспертов по киберзащите на аутсорсе.