Правила, требования и безопасность интернет‑эквайринга

Правила, требования и безопасность интернет‑эквайринга

Качественный и безопасный приём оплаты на сайте — это не только выбор провайдера, но и соблюдение правил интернет‑эквайринга, выполнение требований платёжных систем и настройка процессов защиты от мошенничества. В этом материале собраны практические нормы, чек‑лист соответствия и инструкция, как пройти комплаенс с первого раза.

Интернет‑эквайринг: сущность и специфика

Если вы только начинаете, сперва разберитесь с базой: что такое интернет‑эквайринг, как работает эквайринг и чем онлайн‑приём карт отличается от торгового эквайринга.

Коротко о главном:

• Интернет‑эквайринг — это дистанционный приём платежей банковскими картами и альтернативными методами (СБП, кошельки, кнопки Pay) на сайте, в приложении или по платежным ссылкам.
• Интернет эквайринг преимущества: выше конверсия против банковских переводов, автосписания для подписок, быстрые возвраты, расширенная аналитика и антифрод.
• Интернет эквайринг сущность и специфика: строгое соблюдение правил платёжных систем, отсутствие физической карты у кассира, усиленные требования к безопасности и верификации клиента.

Правила интернет‑эквайринга и нормативная база

Правила интернет эквайринга формируются тремя уровнями требований:

1. Госрегулирование и Банк России

• Закон о национальной платёжной системе, требования к переводам денежных средств, KYC/AML (противодействие отмыванию), защита прав потребителя.
• 54‑ФЗ об онлайн‑кассах: фискализация интернет‑платежей и отправка чека покупателю. Подробнее — в разделе онлайн‑касса и фискализация и связка ККТ.
• 152‑ФЗ о персональных данных: политика конфиденциальности, согласие на обработку, безопасное хранение.

1. Платёжные системы

• Правила Visa, Mastercard и «Мир»: обязательность 3‑D Secure 2, запрет хранения CVV/CVC, корректная индикация брендов карт, обработка чарджбеков и претензий.

1. Индустриальные стандарты

• PCI DSS для участников, которые обрабатывают карты. Если вы не храните и не обрабатываете PAN/CSC на своём сервере (всё у провайдера), достаточно SAQ‑A и общих мер безопасности.

С требованиями интернет эквайринга вы также столкнётесь в документах провайдера: оферта, регламент антифрода, каталог MCC, запреты по вертикалям и лимиты. См. договор и условия эквайринга.

Требования к сайту и бизнесу: что проверяют

Перед включением мерчанта банк/провайдер проводит комплаенс‑оценку. Вот концентрированный чек‑лист.

Блок требований	Что нужно на стороне мерчанта	Чем подтверждается
Юридические данные	Регистрация (ИП/ООО/самозанятый), расчётный счёт, ОКВЭД, MCC	Учредительные документы, анкета KYC
Контент сайта	Оферта/договор публичной оферты, политика возвратов, доставка, контакты, реквизиты, цены и валюта, описание товара/услуги	Ссылки в футере/карточках товара
UX оплаты	Кнопка «Оплатить», корректная сумма, валюта, итоговый чек, данные плательщика	Скриншоты/тестовый заказ
Безопасность	HTTPS/TLS 1.2+, отсутствие открытого сбора карты на вашем домене, 3‑D Secure 2	Проверка интеграции, тестовые транзакции
Касса	Интеграция с ОФД, автоматическая отправка чеков	Договор с ОФД, тест чека
Политика ПД	Согласие на обработку ПДн, политика конфиденциальности	Страницы политики и формы согласия
Риски	Отсутствие запрещённых товаров/услуг, корректные возрастные и территориальные ограничения	Модерация контента

Совет: заранее подготовьте разделы «Оплата», «Доставка», «Возврат», «Политика конфиденциальности». Это ускорит подключение и снизит вероятность отказа. Об особенностях расчётов и бухгалтерии — в материале учёт и налоги в эквайринге.

Интернет эквайринг: условия обслуживания и расчётов

Под «интернет эквайринг условия» обычно понимают тарифы, сроки зачисления и операционные правила:

• Комиссии: % от оборота + фикс за транзакцию, иногда — комиссия за возврат/чарджбек. Сравнить поможет раздел тарифы и комиссии и сравнение тарифов банков.
• Схема выплат: D+1/D+2, иногда — холд до 7–14 дней для новых мерчантов или высокорисковых категорий.
• Роллинг‑резерв: может применяться для отраслей с повышенным риском возвратов.
• Лимиты: дневные/месячные, на один платёж и на карту.
• Валюта и мультиэквайринг: рубли по умолчанию, отдельные провайдеры поддерживают мультивалюту и международный эквайринг СНГ.
• Чарджбеки и споры: порядок, сроки, ответственность; при 3‑D Secure 2 чаще действует перенос ответственности (liability shift).

Отдельно посмотрите условия провайдеров: Сбербанк, Тинькофф, Альфа‑Банк и агрегаторов вроде YooKassa и CloudPayments. Выбор канала влияет на конверсию и скорость выплат.

Безопасность: технологии и процессы

Безопасность интернет‑платежей — это сочетание технологий провайдера и дисциплины мерчанта:

Технологии провайдера

• 3‑D Secure 2 (SCA): динамическая аутентификация, снижающая риск фрода и чарджбеков.
• Шифрование: TLS 1.2+, хранение ключей в HSM, P2PE, токенизация карт для повторных платежей.
• Антифрод: скоринг транзакций, поведенческий анализ, device fingerprinting, velocity‑фильтры, геолокационные правила, списки доверенных/блокируемых BIN/IP/почт.
• Сегментация инфраструктуры и соответствие PCI DSS.

Процессы мерчанта

• Разграничение прав доступа в ЛК провайдера, 2FA для сотрудников, аудит операций.
• Регламент обработки инцидентов и реагирования: кто, как и когда блокирует подозрительные заказы.
• Регулярные ревью: обновление CMS/плагинов, WAF, сканирование уязвимостей.
• Корректное хранение персональных данных, безопасные веб‑хуки и контроль IP.

Для подписок и автоплатежей используйте токены и явно оформляйте согласие плательщика. Подробнее — в разделе отключение подписок и спорные списания и возвраты и списания.

Платёжные системы интернет‑эквайринга и сценарии

• Карты Visa, Mastercard, «Мир»: базовый канал с наибольшим охватом.
• СБП/QR: дешёвые переводы с моментальным зачислением — разберите плюсы/минусы в материале эквайринг СБП/QR.
• Кнопки и кошельки: Yandex Pay, Apple Pay/Google Pay (если доступны), сокращают ввод данных и повышают конверсию.
• Платёжные ссылки без сайта и инвойсы в мессенджерах — быстрый старт без разработки: см. платёжные ссылки без сайта и мобильный интернет‑эквайринг.

Важно: корректно отображайте логотипы доступных платёжных средств и условия их использования на странице оплаты — это требование платёжных систем и банков.

Интернет эквайринг инструкция: подключение и интеграция

Базовые шаги выглядят так:

1. Оцените бизнес‑модель и риски

• Категория товара/услуги, прогноз оборота, доля возвратов, есть ли подписки.

1. Выберите канал приёма

• Банковский интернет эквайринг или агрегатор; сравните по комиссии, сроку выплат, поддерживаемым методам — поможет агрегаторы или банк: что выбрать, рейтинг провайдеров и сравнение тарифов банков.

1. Подготовьте сайт и документы

• Разделы «Оплата/Доставка/Возврат», политика ПДн, реквизиты. Проверьте чек‑лист выше.

1. Подпишите договор и пройдите KYC

• Узнайте про холд и резервы, лимиты, оплату чарджбеков. Подробнее — договор и условия.

1. Интегрируйтесь

• Через виджет/SDK, платёжную страницу или по API. См. API интернет‑эквайринга, интеграция с 1С, Bitrix, Tilda.
• Подключите фискализацию: онлайн‑касса и фискализация.

1. Пройдите тесты

• Используйте тестовый стенд и песочницу, сценарии из раздела инструкция и примеры.

1. Запуститесь и мониторьте

• Следите за конверсией, долей 3DS‑фейлов, фрод‑алертами и чарджбеками; корректируйте антифрод‑политики.

Частые ошибки и как их избежать

• Собираете данные карты на своём домене. Нельзя. Используйте hosted‑page/JS‑tokenization провайдера.
• Нет политики возвратов/контактов. Провайдер заморозит подключения; покупатель — деньги.
• Не проброшены веб‑хуки. Отсутствие статуса оплаты ломает фискализацию и уведомления.
• Отсутствует 3‑D Secure 2 для рисковых платежей. Итог — чарджбеки и штрафы платёжных систем.
• Игнорируете антифрод. Настройте velocity‑лимиты, чёрные списки по BIN/IP/почтам, лимиты суммы по стране.
• Не проводите стейджинг‑тесты после обновлений CMS/плагинов.

Банковский интернет‑эквайринг или агрегатор: как выбрать

• Прямой банковский интернет эквайринг: ниже комиссия при высоком обороте, строгие требования, может дольше настраиваться. Смотрите условия у ведущих банков — Сбербанк, Тинькофф.
• Агрегатор: быстрый запуск, больше платёжных методов «из коробки» (СБП, кошельки, Pay‑кнопки), выше комиссия, гибкий антифрод. Примеры: YooKassa, CloudPayments.

Для малого бизнеса (ИП, самозанятые) часто быстрее стартовать через агрегатор, а затем при росте оборота перейти на прямой банк. Отдельные рекомендации — для форматов эквайринг для ИП, для ООО и для самозанятых.

Короткий чек‑лист соответствия

• Договор и KYC пройдены, MCC корректен.
• Сайт: оферта, возвраты, доставка, политика ПДн, контакты, реквизиты, цены.
• Интеграция: HTTPS, hosted‑платёжная страница/JS‑SDK, 3‑D Secure 2, веб‑хуки.
• Касса: автоматическая фискализация, чеки отправляются покупателю.
• Антифрод: скоринг, лимиты, чёрные списки, мониторинг.
• Процессы: 2FA в ЛК, журнал действий, регламент инцидентов.
• Тарифы и лимиты подтверждены; настроены возвраты/частичные возвраты.

Итоги и следующий шаг

Соблюдение правил интернет эквайринга — это управляемый процесс: подготовьте сайт, закройте юридические и кассовые требования, выберите провайдера и запустите безопасную интеграцию с 3‑D Secure 2 и антифродом. Так вы снизите риск чарджбеков, ускорите модерацию и поднимете конверсию.

Готовы к подключению? Перейдите к шагам из раздела подключение интернет‑эквайринга, изучите тарифы и сравните предложения в рейтинге провайдеров. Если нужны примеры кода — откройте инструкции и примеры и начните тест в песочнице.