Хранение данных банковских карт клиентов: правовая ответственность бизнеса и роль токенизации

Хранение данных банковских карт клиентов: правовая ответственность бизнеса и роль токенизации
Банковская карта. Фото: Freepik

«Сохраните мою карту на следующий раз» — привычный запрос покупателя. За ним стоит удобство, но также и серьезная правовая ответственность для бизнеса, который решает «сохранить» эту карту.

Вопрос не в намерениях. Вопрос в том, как именно реализовано хранение: соответствует ли оно международным стандартам безопасности, есть ли у бизнеса правовые основания для обработки этих данных и что происходит, если что-то идет не так.

Эта статья для предпринимателей и юристов, которые хотят разобраться в правовой стороне вопроса: что разрешено, что запрещено, какова ответственность и как токенизация через платежного провайдера позволяет получить функциональность без правовых рисков.

Что такое данные банковских карт с точки зрения права

Банковская карта клиента — это платежный инструмент, а ее реквизиты (номер, срок действия, CVV, имя владельца) являются конфиденциальными персональными данными, защищенными сразу несколькими правовыми актами.

В Украине обработка персональных данных регулируется Законом Украины «О защите персональных данных» (№ 2297-VI). Платежные данные подпадают под понятие «чувствительных персональных данных», обработка которых требует явного согласия субъекта и четкого определения цели.

Читайте также:

Параллельно действует международный стандарт PCI DSS (Payment Card Industry Data Security Standard), разработанный платежными системами Visa и Mastercard. Он определяет технические и организационные требования к любой организации, которая обрабатывает, хранит или передает данные карт.

Важно: PCI DSS не является законом в привычном понимании, но нарушение его требований влечет за собой практические последствия в связи с договорными обязательствами перед банком-эквайером — вплоть до отключения от платежных систем.

Что категорически запрещено хранить

PCI DSS чётко различает данные, которые можно хранить при определённых условиях, и те, которые нельзя хранить никогда, даже в зашифрованном виде.

Запрещено хранить в любом случае:

  • полный код проверки карты (CVV2/CVC2) — трехзначное или четырехзначное число на обратной стороне;
  • ПИН-код и его зашифрованные блоки;
  • данные с магнитной полосы или чипа карты в полном объеме.

Можно хранить при условии защиты:

  • первичный номер счета (PAN) — но только в защищенном или усеченном виде;
  • имя владельца карты;
  • срок действия карты;
  • сервисный код.

Большинство малых и средних предпринимателей, которые «хранят карту» самостоятельно, сохраняют либо весь PAN, либо CVV, либо и то, и другое. Это прямое нарушение стандарта, независимо от наличия шифрования.

Ответственность за нарушение: что реально грозит

Вопрос о санкциях за нарушение PCI DSS часто остается в тени, поскольку прямое положение в украинском законодательстве не устанавливает отдельного наказания. Но последствия реальны и могут быть значительными:

  • Штрафы от платежных систем. Visa и Mastercard через банк-эквайер могут наложить штраф от 5 000 до 100 000 долларов в зависимости от масштаба нарушения и уровня сертификации мерчанта.
  • Отключение от эквайринга. При серьезном нарушении или утечке данных банк имеет право расторгнуть договор эквайринга, фактически лишая бизнес возможности принимать карты.
  • Гражданская ответственность. Если из-за утечки данных карт клиенты понесли убытки, они имеют право предъявить претензии к бизнесу в гражданском порядке на основании общих норм ГКУ о возмещении ущерба.
  • Ответственность за Закон о защите персональных данных. Нарушение Закона о защите персональных данных влечет административную ответственность по ст. 188-39 КоАП и может стать основанием для проверки Уполномоченного ВРУ по правам человека.

Токенизация: как делегировать хранение и избежать ответственности

Токенизация — это замена реальных данных платежных карт уникальным идентификатором (токеном), который хранится на защищенных серверах платежного провайдера, сертифицированного по стандарту PCI DSS.

С юридической точки зрения механизм таков: бизнес не хранит данные карт, он хранит только токен, который является ничем иным, как ссылкой на данные в системе провайдера. Сам по себе токен не позволяет провести транзакцию без соответствующей системы провайдера. Соответственно, бизнес освобождается от требований PCI DSS в отношении хранения конфиденциальных данных.

Это не «обход» требований, а именно та модель, которую PCI DSS и предусматривает для большинства мерчантов: делегировать обработку и хранение сертифицированному субъекту и самому не прикасаться к данным карт.

Платежный провайдер hutko сертифицирован по стандарту PCI DSS. Токены карт хранятся исключительно на инфраструктуре провайдера — бизнес получает лишь идентификатор для повторных транзакций. Это означает, что при подключении через hutko ни WooCommerce-магазин, ни любая другая CMS-платформа не получает и не хранит реальные данные банковских карт клиентов.

платіжний провайдер hutko
Банковская карта. Фото: hutko

Подключение оплаты на Wix: правовой аспект

Отдельного внимания заслуживает вопрос о том, как подключить оплату на Wix с соблюдением правовых требований в отношении данных банковских карт.

Wix как платформа не позволяет владельцам магазинов устанавливать произвольные скрипты или хранить платежные данные в пределах своей инфраструктуры. Все платежные интеграции осуществляются исключительно через Wix App Market — это закрытая экосистема, где каждый провайдер проходит проверку перед допуском.

С юридической точки зрения это означает следующее: владелец Wix-магазина, использующий интеграцию через App Market, фактически не является субъектом, хранящим данные платежных карт. Хранение происходит на стороне провайдера. Однако ответственность за выбор провайдера и за то, чтобы он соответствовал требованиям безопасности, лежит на бизнесе.

Поэтому перед тем, как подключить оплату на Wix, стоит проверить у выбранного провайдера наличие сертификата PCI DSS и документацию о том, как именно обрабатываются и где хранятся токены. hutko представлен в Wix App Market и предоставляет открытую информацию о соответствии стандартам безопасности — это снижает правовые риски для владельца магазина.

як підключити оплату на Wix
Как подключить оплату на Wix. Фото: hutko

Практические рекомендации для бизнеса

Независимо от размера магазина и платформы — несколько правил, соблюдение которых минимизирует правовые риски:

  • Не храните данные карт самостоятельно. Никаких баз данных с номерами карт, никаких CSV-файлов с реквизитами. Даже зашифрованных.
  • Проверяйте соответствие провайдера стандарту PCI DSS до подписания договора. Запрашивайте AOC (Attestation of Compliance) — документ, подтверждающий прохождение аудита.
  • Закрепите условия в договоре. Договор с провайдером должен содержать положения о конфиденциальности данных, ответственности за утечку и порядке уведомления об инцидентах.
  • Получите явное согласие на хранение токена. Даже если вы храните только токен, а не реальные данные — клиент должен дать согласие на «хранение карты для будущих платежей» в формате, соответствующем требованиям ЗОПД.
  • Предоставьте клиенту возможность удалить сохраненную карту. Право на удаление персональных данных — одно из основных прав субъекта по украинскому законодательству.

Хранение данных карт клиентов — это не технический вопрос, а правовой. Бизнес, который самостоятельно хранит CVV или полные номера карт, нарушает сразу несколько уровней регулирования: международный стандарт PCI DSS, договорные обязательства с банком и требования Закона о защите персональных данных.

Токенизация через сертифицированного провайдера — это не просто технология удобной повторной оплаты. Это юридически корректная модель, при которой бизнес получает функциональность «сохраненной карты» без правовых рисков, связанных с хранением конфиденциальных данных.

банковские карты личные данные банковские счета
Реклама