Хранение данных банковских карт клиентов: правовая ответственность бизнеса и роль токенизации
«Сохраните мою карту на следующий раз» — привычный запрос покупателя. За ним стоит удобство, но также и серьезная правовая ответственность для бизнеса, который решает «сохранить» эту карту.
Вопрос не в намерениях. Вопрос в том, как именно реализовано хранение: соответствует ли оно международным стандартам безопасности, есть ли у бизнеса правовые основания для обработки этих данных и что происходит, если что-то идет не так.
Эта статья для предпринимателей и юристов, которые хотят разобраться в правовой стороне вопроса: что разрешено, что запрещено, какова ответственность и как токенизация через платежного провайдера позволяет получить функциональность без правовых рисков.
Что такое данные банковских карт с точки зрения права
Банковская карта клиента — это платежный инструмент, а ее реквизиты (номер, срок действия, CVV, имя владельца) являются конфиденциальными персональными данными, защищенными сразу несколькими правовыми актами.
В Украине обработка персональных данных регулируется Законом Украины «О защите персональных данных» (№ 2297-VI). Платежные данные подпадают под понятие «чувствительных персональных данных», обработка которых требует явного согласия субъекта и четкого определения цели.
Параллельно действует международный стандарт PCI DSS (Payment Card Industry Data Security Standard), разработанный платежными системами Visa и Mastercard. Он определяет технические и организационные требования к любой организации, которая обрабатывает, хранит или передает данные карт.
Важно: PCI DSS не является законом в привычном понимании, но нарушение его требований влечет за собой практические последствия в связи с договорными обязательствами перед банком-эквайером — вплоть до отключения от платежных систем.
Что категорически запрещено хранить
PCI DSS чётко различает данные, которые можно хранить при определённых условиях, и те, которые нельзя хранить никогда, даже в зашифрованном виде.
Запрещено хранить в любом случае:
- полный код проверки карты (CVV2/CVC2) — трехзначное или четырехзначное число на обратной стороне;
- ПИН-код и его зашифрованные блоки;
- данные с магнитной полосы или чипа карты в полном объеме.
Можно хранить при условии защиты:
- первичный номер счета (PAN) — но только в защищенном или усеченном виде;
- имя владельца карты;
- срок действия карты;
- сервисный код.
Большинство малых и средних предпринимателей, которые «хранят карту» самостоятельно, сохраняют либо весь PAN, либо CVV, либо и то, и другое. Это прямое нарушение стандарта, независимо от наличия шифрования.
Ответственность за нарушение: что реально грозит
Вопрос о санкциях за нарушение PCI DSS часто остается в тени, поскольку прямое положение в украинском законодательстве не устанавливает отдельного наказания. Но последствия реальны и могут быть значительными:
- Штрафы от платежных систем. Visa и Mastercard через банк-эквайер могут наложить штраф от 5 000 до 100 000 долларов в зависимости от масштаба нарушения и уровня сертификации мерчанта.
- Отключение от эквайринга. При серьезном нарушении или утечке данных банк имеет право расторгнуть договор эквайринга, фактически лишая бизнес возможности принимать карты.
- Гражданская ответственность. Если из-за утечки данных карт клиенты понесли убытки, они имеют право предъявить претензии к бизнесу в гражданском порядке на основании общих норм ГКУ о возмещении ущерба.
- Ответственность за Закон о защите персональных данных. Нарушение Закона о защите персональных данных влечет административную ответственность по ст. 188-39 КоАП и может стать основанием для проверки Уполномоченного ВРУ по правам человека.
Токенизация: как делегировать хранение и избежать ответственности
Токенизация — это замена реальных данных платежных карт уникальным идентификатором (токеном), который хранится на защищенных серверах платежного провайдера, сертифицированного по стандарту PCI DSS.
С юридической точки зрения механизм таков: бизнес не хранит данные карт, он хранит только токен, который является ничем иным, как ссылкой на данные в системе провайдера. Сам по себе токен не позволяет провести транзакцию без соответствующей системы провайдера. Соответственно, бизнес освобождается от требований PCI DSS в отношении хранения конфиденциальных данных.
Это не «обход» требований, а именно та модель, которую PCI DSS и предусматривает для большинства мерчантов: делегировать обработку и хранение сертифицированному субъекту и самому не прикасаться к данным карт.
Платежный провайдер hutko сертифицирован по стандарту PCI DSS. Токены карт хранятся исключительно на инфраструктуре провайдера — бизнес получает лишь идентификатор для повторных транзакций. Это означает, что при подключении через hutko ни WooCommerce-магазин, ни любая другая CMS-платформа не получает и не хранит реальные данные банковских карт клиентов.
Подключение оплаты на Wix: правовой аспект
Отдельного внимания заслуживает вопрос о том, как подключить оплату на Wix с соблюдением правовых требований в отношении данных банковских карт.
Wix как платформа не позволяет владельцам магазинов устанавливать произвольные скрипты или хранить платежные данные в пределах своей инфраструктуры. Все платежные интеграции осуществляются исключительно через Wix App Market — это закрытая экосистема, где каждый провайдер проходит проверку перед допуском.
С юридической точки зрения это означает следующее: владелец Wix-магазина, использующий интеграцию через App Market, фактически не является субъектом, хранящим данные платежных карт. Хранение происходит на стороне провайдера. Однако ответственность за выбор провайдера и за то, чтобы он соответствовал требованиям безопасности, лежит на бизнесе.
Поэтому перед тем, как подключить оплату на Wix, стоит проверить у выбранного провайдера наличие сертификата PCI DSS и документацию о том, как именно обрабатываются и где хранятся токены. hutko представлен в Wix App Market и предоставляет открытую информацию о соответствии стандартам безопасности — это снижает правовые риски для владельца магазина.
Практические рекомендации для бизнеса
Независимо от размера магазина и платформы — несколько правил, соблюдение которых минимизирует правовые риски:
- Не храните данные карт самостоятельно. Никаких баз данных с номерами карт, никаких CSV-файлов с реквизитами. Даже зашифрованных.
- Проверяйте соответствие провайдера стандарту PCI DSS до подписания договора. Запрашивайте AOC (Attestation of Compliance) — документ, подтверждающий прохождение аудита.
- Закрепите условия в договоре. Договор с провайдером должен содержать положения о конфиденциальности данных, ответственности за утечку и порядке уведомления об инцидентах.
- Получите явное согласие на хранение токена. Даже если вы храните только токен, а не реальные данные — клиент должен дать согласие на «хранение карты для будущих платежей» в формате, соответствующем требованиям ЗОПД.
- Предоставьте клиенту возможность удалить сохраненную карту. Право на удаление персональных данных — одно из основных прав субъекта по украинскому законодательству.
Хранение данных карт клиентов — это не технический вопрос, а правовой. Бизнес, который самостоятельно хранит CVV или полные номера карт, нарушает сразу несколько уровней регулирования: международный стандарт PCI DSS, договорные обязательства с банком и требования Закона о защите персональных данных.
Токенизация через сертифицированного провайдера — это не просто технология удобной повторной оплаты. Это юридически корректная модель, при которой бизнес получает функциональность «сохраненной карты» без правовых рисков, связанных с хранением конфиденциальных данных.