Зберігання карткових даних клієнтів: правова відповідальність бізнесу і роль токенізації

Банкывська карта. Фото: Freepik

"Збережіть мою картку для наступного разу" — звичний запит покупця. За ним стоїть зручність, але також і серйозна правова відповідальність для бізнесу, який наважується цю картку "зберегти".

Питання не в намірах. Питання в тому, як саме реалізовано зберігання: чи відповідає воно міжнародним стандартам безпеки, чи є у бізнесу правові підстави обробляти ці дані, і що відбувається, якщо щось іде не так.

Ця стаття для підприємців і юристів, які хочуть розібратися в правовій стороні питання: що дозволено, що заборонено, яка відповідальність і як токенізація через платіжного провайдера дозволяє отримати функціональність без правових ризиків.

Що таке карткові дані з точки зору права

Банківська картка клієнта - це платіжний інструмент, а її реквізити (номер, термін дії, CVV, ім'я власника) є конфіденційними персональними даними, захищеними одразу кількома правовими актами.

В Україні обробка персональних даних регулюється Законом України "Про захист персональних даних" (№ 2297-VI). Платіжні дані підпадають під поняття "чутливих персональних даних", обробка яких потребує явної згоди суб'єкта і чіткого визначення мети.

Паралельно діє міжнародний стандарт PCI DSS (Payment Card Industry Data Security Standard), розроблений платіжними системами Visa і Mastercard. Він визначає технічні і організаційні вимоги до будь-якої організації, що обробляє, зберігає або передає дані карток.

Важливо: PCI DSS не є законом у звичному розумінні, але порушення його вимог тягне за собою практичні наслідки через договірні зобов'язання з банком-еквайром — аж до відключення від платіжних систем.

Що заборонено зберігати категорично

PCI DSS чітко розрізняє дані, які можна зберігати за певних умов, і ті, що не можна зберігати ніколи, навіть у зашифрованому вигляді.

Заборонено зберігати будь-коли:

  • повний код перевірки картки (CVV2/CVC2) — тризначне або чотиризначне число на звороті;
  • ПІН-код і його зашифровані блоки;
  • дані з магнітної смуги або чіпа картки в повному обсязі.

Можна зберігати за умови захисту:

  • первинний номер рахунку (PAN) — але тільки у захищеному або усіченому вигляді;
  • ім'я власника картки;
  • термін дії картки;
  • сервісний код.

Більшість малих і середніх підприємців, які "зберігають картку" самостійно — зберігають або весь PAN, або CVV, або і те, і інше. Це пряме порушення стандарту незалежно від наявності шифрування.

Відповідальність за порушення: що реально загрожує

Питання про санкції за порушення PCI DSS часто залишається в тіні, бо пряма норма в українському законодавстві не встановлює окремого покарання. Але наслідки реальні і можуть бути значними:

  • Штрафи від платіжних систем. Visa і Mastercard через банк-еквайр можуть застосувати штраф від 5 000 до 100 000 доларів залежно від масштабу порушення і рівня сертифікації мерчанта.
  • Відключення від еквайрингу. При серйозному порушенні або витоку даних банк має право розірвати договір еквайрингу, фактично позбавляючи бізнес можливості приймати картки.
  • Цивільна відповідальність. Якщо через витік карткових даних клієнти зазнали збитків, вони мають право пред'явити вимоги до бізнесу в цивільному порядку на підставі загальних норм ЦКУ про відшкодування шкоди.
  • Відповідальність за ЗОПД. Порушення Закону про захист персональних даних тягне адміністративну відповідальність за ст. 188-39 КУпАП і може стати підставою для перевірки Уповноваженого ВРУ з прав людини.

Токенізація: як делегувати зберігання і уникнути відповідальності

Токенізація — це заміна реальних карткових даних унікальним ідентифікатором (токеном), що зберігається на захищених серверах платіжного провайдера, сертифікованого за PCI DSS.

З правової точки зору механізм такий: бізнес не зберігає карткові дані, він зберігає лише токен, який є нічим іншим, як посиланням на дані у системі провайдера. Сам по собі токен не дозволяє провести транзакцію без відповідної системи провайдера. Відповідно, бізнес виходить з-під вимог PCI DSS щодо зберігання чутливих даних.

Це не "обхід" вимог, а саме та модель, яку PCI DSS і передбачає для більшості мерчантів: делегувати обробку і зберігання сертифікованому суб'єкту і самому не торкатись карткових даних.

Платіжний провайдер hutko сертифікований за стандартом PCI DSS. Токени карток зберігаються виключно на інфраструктурі провайдера — бізнес отримує лише ідентифікатор для повторних транзакцій. Це означає, що при підключенні через hutko ані WooCommerce-магазин, ані будь-яка інша CMS-платформа не отримує і не зберігає реальних карткових даних клієнтів.

Банківська карта. Фото: hutko

Підключити оплату на Wix: правовий аспект

Окремої уваги заслуговує питання про те, як підключити оплату на Wix з дотриманням правових вимог щодо карткових даних.

Wix як платформа не дозволяє власникам магазинів встановлювати довільні скрипти або зберігати платіжні дані в межах своєї інфраструктури. Всі платіжні інтеграції відбуваються виключно через Wix App Market — це закрита екосистема, де кожен провайдер проходить перевірку перед допуском.

З правової точки зору це означає наступне: власник Wix-магазину, який використовує інтеграцію через App Market, фактично не є суб'єктом, що зберігає карткові дані. Зберігання відбувається на боці провайдера. Проте відповідальність за вибір провайдера і за те, щоб він відповідав вимогам безпеки, залишається на стороні бізнесу.

Тому перед тим як підключити оплату на Wix, варто перевірити у обраного провайдера наявність PCI DSS сертифіката і документацію щодо того, як саме обробляються і де зберігаються токени. hutko є у Wix App Market і надає публічну інформацію про відповідність стандартам безпеки — це знімає правові ризики для власника магазину.

Як підключити оплату на Wix. Фото: hutko

Практичні рекомендації для бізнесу

Незалежно від розміру магазину і платформи — кілька правил, дотримання яких мінімізує правові ризики:

  • Не зберігайте карткові дані самостійно. Жодних баз даних з номерами карток, жодних CSV-файлів з реквізитами. Навіть зашифрованих.
  • Перевіряйте PCI DSS провайдера до підписання договору. Запитуйте AOC (Attestation of Compliance) — документ, що підтверджує проходження аудиту.
  • Закріпіть умови в договорі. Договір з провайдером має містити положення про конфіденційність даних, відповідальність за витік і порядок повідомлення про інциденти.
  • Отримайте явну згоду на зберігання токена. Навіть якщо ви зберігаєте лише токен, а не реальні дані — клієнт має дати згоду на "збереження картки для майбутніх оплат" у форматі, що відповідає вимогам ЗОПД.
  • Надайте клієнту можливість видалити збережену картку. Право на видалення персональних даних — одне з основних прав суб'єкта за українським законодавством.

Зберігання карткових даних клієнтів — це не технічне питання, а правове. Бізнес, який самостійно зберігає CVV або повні номери карток, порушує одразу кілька рівнів регулювання: міжнародний стандарт PCI DSS, договірні зобов'язання з банком і вимоги Закону про захист персональних даних.

Токенізація через сертифікованого провайдера — це не просто технологія зручної повторної оплати. Це юридично коректна модель, при якій бізнес отримує функціональність "збереженої картки" без правових ризиків, пов'язаних із зберіганням чутливих даних.