Зберігання карткових даних клієнтів: правова відповідальність бізнесу і роль токенізації
"Збережіть мою картку для наступного разу" — звичний запит покупця. За ним стоїть зручність, але також і серйозна правова відповідальність для бізнесу, який наважується цю картку "зберегти".
Питання не в намірах. Питання в тому, як саме реалізовано зберігання: чи відповідає воно міжнародним стандартам безпеки, чи є у бізнесу правові підстави обробляти ці дані, і що відбувається, якщо щось іде не так.
Ця стаття для підприємців і юристів, які хочуть розібратися в правовій стороні питання: що дозволено, що заборонено, яка відповідальність і як токенізація через платіжного провайдера дозволяє отримати функціональність без правових ризиків.
Що таке карткові дані з точки зору права
Банківська картка клієнта - це платіжний інструмент, а її реквізити (номер, термін дії, CVV, ім'я власника) є конфіденційними персональними даними, захищеними одразу кількома правовими актами.
В Україні обробка персональних даних регулюється Законом України "Про захист персональних даних" (№ 2297-VI). Платіжні дані підпадають під поняття "чутливих персональних даних", обробка яких потребує явної згоди суб'єкта і чіткого визначення мети.
Паралельно діє міжнародний стандарт PCI DSS (Payment Card Industry Data Security Standard), розроблений платіжними системами Visa і Mastercard. Він визначає технічні і організаційні вимоги до будь-якої організації, що обробляє, зберігає або передає дані карток.
Важливо: PCI DSS не є законом у звичному розумінні, але порушення його вимог тягне за собою практичні наслідки через договірні зобов'язання з банком-еквайром — аж до відключення від платіжних систем.
Що заборонено зберігати категорично
PCI DSS чітко розрізняє дані, які можна зберігати за певних умов, і ті, що не можна зберігати ніколи, навіть у зашифрованому вигляді.
Заборонено зберігати будь-коли:
- повний код перевірки картки (CVV2/CVC2) — тризначне або чотиризначне число на звороті;
- ПІН-код і його зашифровані блоки;
- дані з магнітної смуги або чіпа картки в повному обсязі.
Можна зберігати за умови захисту:
- первинний номер рахунку (PAN) — але тільки у захищеному або усіченому вигляді;
- ім'я власника картки;
- термін дії картки;
- сервісний код.
Більшість малих і середніх підприємців, які "зберігають картку" самостійно — зберігають або весь PAN, або CVV, або і те, і інше. Це пряме порушення стандарту незалежно від наявності шифрування.
Відповідальність за порушення: що реально загрожує
Питання про санкції за порушення PCI DSS часто залишається в тіні, бо пряма норма в українському законодавстві не встановлює окремого покарання. Але наслідки реальні і можуть бути значними:
- Штрафи від платіжних систем. Visa і Mastercard через банк-еквайр можуть застосувати штраф від 5 000 до 100 000 доларів залежно від масштабу порушення і рівня сертифікації мерчанта.
- Відключення від еквайрингу. При серйозному порушенні або витоку даних банк має право розірвати договір еквайрингу, фактично позбавляючи бізнес можливості приймати картки.
- Цивільна відповідальність. Якщо через витік карткових даних клієнти зазнали збитків, вони мають право пред'явити вимоги до бізнесу в цивільному порядку на підставі загальних норм ЦКУ про відшкодування шкоди.
- Відповідальність за ЗОПД. Порушення Закону про захист персональних даних тягне адміністративну відповідальність за ст. 188-39 КУпАП і може стати підставою для перевірки Уповноваженого ВРУ з прав людини.
Токенізація: як делегувати зберігання і уникнути відповідальності
Токенізація — це заміна реальних карткових даних унікальним ідентифікатором (токеном), що зберігається на захищених серверах платіжного провайдера, сертифікованого за PCI DSS.
З правової точки зору механізм такий: бізнес не зберігає карткові дані, він зберігає лише токен, який є нічим іншим, як посиланням на дані у системі провайдера. Сам по собі токен не дозволяє провести транзакцію без відповідної системи провайдера. Відповідно, бізнес виходить з-під вимог PCI DSS щодо зберігання чутливих даних.
Це не "обхід" вимог, а саме та модель, яку PCI DSS і передбачає для більшості мерчантів: делегувати обробку і зберігання сертифікованому суб'єкту і самому не торкатись карткових даних.
Платіжний провайдер hutko сертифікований за стандартом PCI DSS. Токени карток зберігаються виключно на інфраструктурі провайдера — бізнес отримує лише ідентифікатор для повторних транзакцій. Це означає, що при підключенні через hutko ані WooCommerce-магазин, ані будь-яка інша CMS-платформа не отримує і не зберігає реальних карткових даних клієнтів.
Підключити оплату на Wix: правовий аспект
Окремої уваги заслуговує питання про те, як підключити оплату на Wix з дотриманням правових вимог щодо карткових даних.
Wix як платформа не дозволяє власникам магазинів встановлювати довільні скрипти або зберігати платіжні дані в межах своєї інфраструктури. Всі платіжні інтеграції відбуваються виключно через Wix App Market — це закрита екосистема, де кожен провайдер проходить перевірку перед допуском.
З правової точки зору це означає наступне: власник Wix-магазину, який використовує інтеграцію через App Market, фактично не є суб'єктом, що зберігає карткові дані. Зберігання відбувається на боці провайдера. Проте відповідальність за вибір провайдера і за те, щоб він відповідав вимогам безпеки, залишається на стороні бізнесу.
Тому перед тим як підключити оплату на Wix, варто перевірити у обраного провайдера наявність PCI DSS сертифіката і документацію щодо того, як саме обробляються і де зберігаються токени. hutko є у Wix App Market і надає публічну інформацію про відповідність стандартам безпеки — це знімає правові ризики для власника магазину.
Практичні рекомендації для бізнесу
Незалежно від розміру магазину і платформи — кілька правил, дотримання яких мінімізує правові ризики:
- Не зберігайте карткові дані самостійно. Жодних баз даних з номерами карток, жодних CSV-файлів з реквізитами. Навіть зашифрованих.
- Перевіряйте PCI DSS провайдера до підписання договору. Запитуйте AOC (Attestation of Compliance) — документ, що підтверджує проходження аудиту.
- Закріпіть умови в договорі. Договір з провайдером має містити положення про конфіденційність даних, відповідальність за витік і порядок повідомлення про інциденти.
- Отримайте явну згоду на зберігання токена. Навіть якщо ви зберігаєте лише токен, а не реальні дані — клієнт має дати згоду на "збереження картки для майбутніх оплат" у форматі, що відповідає вимогам ЗОПД.
- Надайте клієнту можливість видалити збережену картку. Право на видалення персональних даних — одне з основних прав суб'єкта за українським законодавством.
Зберігання карткових даних клієнтів — це не технічне питання, а правове. Бізнес, який самостійно зберігає CVV або повні номери карток, порушує одразу кілька рівнів регулювання: міжнародний стандарт PCI DSS, договірні зобов'язання з банком і вимоги Закону про захист персональних даних.
Токенізація через сертифікованого провайдера — це не просто технологія зручної повторної оплати. Це юридично коректна модель, при якій бізнес отримує функціональність "збереженої картки" без правових ризиків, пов'язаних із зберіганням чутливих даних.