Зберігання карткових даних клієнтів: правова відповідальність бізнесу і роль токенізації

Зберігання карткових даних клієнтів: правова відповідальність бізнесу і роль токенізації
Банкывська карта. Фото: Freepik

"Збережіть мою картку для наступного разу" — звичний запит покупця. За ним стоїть зручність, але також і серйозна правова відповідальність для бізнесу, який наважується цю картку "зберегти".

Питання не в намірах. Питання в тому, як саме реалізовано зберігання: чи відповідає воно міжнародним стандартам безпеки, чи є у бізнесу правові підстави обробляти ці дані, і що відбувається, якщо щось іде не так.

Ця стаття для підприємців і юристів, які хочуть розібратися в правовій стороні питання: що дозволено, що заборонено, яка відповідальність і як токенізація через платіжного провайдера дозволяє отримати функціональність без правових ризиків.

Що таке карткові дані з точки зору права

Банківська картка клієнта - це платіжний інструмент, а її реквізити (номер, термін дії, CVV, ім'я власника) є конфіденційними персональними даними, захищеними одразу кількома правовими актами.

В Україні обробка персональних даних регулюється Законом України "Про захист персональних даних" (№ 2297-VI). Платіжні дані підпадають під поняття "чутливих персональних даних", обробка яких потребує явної згоди суб'єкта і чіткого визначення мети.

Читайте також:

Паралельно діє міжнародний стандарт PCI DSS (Payment Card Industry Data Security Standard), розроблений платіжними системами Visa і Mastercard. Він визначає технічні і організаційні вимоги до будь-якої організації, що обробляє, зберігає або передає дані карток.

Важливо: PCI DSS не є законом у звичному розумінні, але порушення його вимог тягне за собою практичні наслідки через договірні зобов'язання з банком-еквайром — аж до відключення від платіжних систем.

Що заборонено зберігати категорично

PCI DSS чітко розрізняє дані, які можна зберігати за певних умов, і ті, що не можна зберігати ніколи, навіть у зашифрованому вигляді.

Заборонено зберігати будь-коли:

  • повний код перевірки картки (CVV2/CVC2) — тризначне або чотиризначне число на звороті;
  • ПІН-код і його зашифровані блоки;
  • дані з магнітної смуги або чіпа картки в повному обсязі.

Можна зберігати за умови захисту:

  • первинний номер рахунку (PAN) — але тільки у захищеному або усіченому вигляді;
  • ім'я власника картки;
  • термін дії картки;
  • сервісний код.

Більшість малих і середніх підприємців, які "зберігають картку" самостійно — зберігають або весь PAN, або CVV, або і те, і інше. Це пряме порушення стандарту незалежно від наявності шифрування.

Відповідальність за порушення: що реально загрожує

Питання про санкції за порушення PCI DSS часто залишається в тіні, бо пряма норма в українському законодавстві не встановлює окремого покарання. Але наслідки реальні і можуть бути значними:

  • Штрафи від платіжних систем. Visa і Mastercard через банк-еквайр можуть застосувати штраф від 5 000 до 100 000 доларів залежно від масштабу порушення і рівня сертифікації мерчанта.
  • Відключення від еквайрингу. При серйозному порушенні або витоку даних банк має право розірвати договір еквайрингу, фактично позбавляючи бізнес можливості приймати картки.
  • Цивільна відповідальність. Якщо через витік карткових даних клієнти зазнали збитків, вони мають право пред'явити вимоги до бізнесу в цивільному порядку на підставі загальних норм ЦКУ про відшкодування шкоди.
  • Відповідальність за ЗОПД. Порушення Закону про захист персональних даних тягне адміністративну відповідальність за ст. 188-39 КУпАП і може стати підставою для перевірки Уповноваженого ВРУ з прав людини.

Токенізація: як делегувати зберігання і уникнути відповідальності

Токенізація — це заміна реальних карткових даних унікальним ідентифікатором (токеном), що зберігається на захищених серверах платіжного провайдера, сертифікованого за PCI DSS.

З правової точки зору механізм такий: бізнес не зберігає карткові дані, він зберігає лише токен, який є нічим іншим, як посиланням на дані у системі провайдера. Сам по собі токен не дозволяє провести транзакцію без відповідної системи провайдера. Відповідно, бізнес виходить з-під вимог PCI DSS щодо зберігання чутливих даних.

Це не "обхід" вимог, а саме та модель, яку PCI DSS і передбачає для більшості мерчантів: делегувати обробку і зберігання сертифікованому суб'єкту і самому не торкатись карткових даних.

Платіжний провайдер hutko сертифікований за стандартом PCI DSS. Токени карток зберігаються виключно на інфраструктурі провайдера — бізнес отримує лише ідентифікатор для повторних транзакцій. Це означає, що при підключенні через hutko ані WooCommerce-магазин, ані будь-яка інша CMS-платформа не отримує і не зберігає реальних карткових даних клієнтів.

платіжний провайдер hutko
Банківська карта. Фото: hutko

Підключити оплату на Wix: правовий аспект

Окремої уваги заслуговує питання про те, як підключити оплату на Wix з дотриманням правових вимог щодо карткових даних.

Wix як платформа не дозволяє власникам магазинів встановлювати довільні скрипти або зберігати платіжні дані в межах своєї інфраструктури. Всі платіжні інтеграції відбуваються виключно через Wix App Market — це закрита екосистема, де кожен провайдер проходить перевірку перед допуском.

З правової точки зору це означає наступне: власник Wix-магазину, який використовує інтеграцію через App Market, фактично не є суб'єктом, що зберігає карткові дані. Зберігання відбувається на боці провайдера. Проте відповідальність за вибір провайдера і за те, щоб він відповідав вимогам безпеки, залишається на стороні бізнесу.

Тому перед тим як підключити оплату на Wix, варто перевірити у обраного провайдера наявність PCI DSS сертифіката і документацію щодо того, як саме обробляються і де зберігаються токени. hutko є у Wix App Market і надає публічну інформацію про відповідність стандартам безпеки — це знімає правові ризики для власника магазину.

як підключити оплату на Wix
Як підключити оплату на Wix. Фото: hutko

Практичні рекомендації для бізнесу

Незалежно від розміру магазину і платформи — кілька правил, дотримання яких мінімізує правові ризики:

  • Не зберігайте карткові дані самостійно. Жодних баз даних з номерами карток, жодних CSV-файлів з реквізитами. Навіть зашифрованих.
  • Перевіряйте PCI DSS провайдера до підписання договору. Запитуйте AOC (Attestation of Compliance) — документ, що підтверджує проходження аудиту.
  • Закріпіть умови в договорі. Договір з провайдером має містити положення про конфіденційність даних, відповідальність за витік і порядок повідомлення про інциденти.
  • Отримайте явну згоду на зберігання токена. Навіть якщо ви зберігаєте лише токен, а не реальні дані — клієнт має дати згоду на "збереження картки для майбутніх оплат" у форматі, що відповідає вимогам ЗОПД.
  • Надайте клієнту можливість видалити збережену картку. Право на видалення персональних даних — одне з основних прав суб'єкта за українським законодавством.

Зберігання карткових даних клієнтів — це не технічне питання, а правове. Бізнес, який самостійно зберігає CVV або повні номери карток, порушує одразу кілька рівнів регулювання: міжнародний стандарт PCI DSS, договірні зобов'язання з банком і вимоги Закону про захист персональних даних.

Токенізація через сертифікованого провайдера — це не просто технологія зручної повторної оплати. Це юридично коректна модель, при якій бізнес отримує функціональність "збереженої картки" без правових ризиків, пов'язаних із зберіганням чутливих даних.

банківські карти персональні дані банківські рахунки
Реклама