Соблюдение нормативных требований в сфере платежей: ключевые правила и лучшие практики.
Любой бизнес, работающий с денежными средствами, сталкивается с проблемами соблюдения нормативных требований. Карточные транзакции, оформление заказов в интернет-магазинах, криптовалютные платежи — неважно, какой канал используется. Правила действуют, штрафы реальны, и игнорирование их редко заканчивается спокойно.
Сложность соблюдения требований в сфере платежей заключается не в том, чтобы знать о их существовании. Сложность состоит в понимании того, какие правила применимы к вашему конкретному бизнесу, как они взаимодействуют друг с другом и что вам действительно нужно делать. Именно этому посвящено данное руководство.
Что такое соответствие платежным требованиям и почему это важно?
Спросите пять разных платежных систем, что означает «соблюдение требований к платежам», и вы, вероятно, получите пять разных ответов. На практике это охватывает полный набор правил, регулирующих сбор, хранение, передачу и обработку платежных данных предприятиями. Эти правила существуют потому, что когда платежные системы дают сбой — из-за мошенничества, отмывания денег или утечки данных — ущерб распространяется быстро и широко.
К числу предприятий, подпадающих под действие этих обязательств, относятся практически все, кто работает с деньгами в цифровом формате: онлайн-ритейлеры, SaaS-платформы, маркетплейсы, финтех-компании, криптоторговцы. Исключений по размеру не предусмотрено. Стартап с десятью сотрудниками сталкивается с теми же основными требованиями, что и крупное предприятие.
Цифры, позволяющие оценить масштаб проблемы: прогнозируемые потери от мошенничества с платежами и электронной коммерции составят 343 миллиарда долларов в период с 2023 по 2027 год . В отчете Verizon о безопасности платежей за 2023 год говорится, что 64% компаний по-прежнему не соответствуют требованиям PCI DSS в полном объеме. А единичная утечка данных может привести к судебным искам, принудительным проверкам и санкциям со стороны платежных систем, на устранение последствий которых уйдут годы.
Соблюдение требований обеспечивает открытый доступ к платежной сети. Потеря этого доступа — в результате нарушения или утечки данных — может навсегда закрыть эту дверь.
Кто регулирует соблюдение требований в сфере платежей на глобальном уровне?
В мире нет единого органа, контролирующего соблюдение требований в сфере платежей. Разрозненные структуры устанавливают стандарты и обеспечивают соблюдение правил в разных юрисдикциях, и большинство предприятий в итоге отчитываются перед несколькими органами.
| Регулятор | Юрисдикция | Объем |
|---|---|---|
| PCI SSC (Совет по стандартам безопасности индустрии платежных карт) | Глобальный | Устанавливает стандарт PCI DSS — базовый стандарт безопасности данных для карточных платежей. |
| FATF (Группа разработки финансовых мер борьбы с отмыванием денег) | Глобальный (более 40 стран-участниц) | Устанавливает стандарты противодействия отмыванию денег и финансированию терроризма. |
| ЕБА / ЕЦБ | Евросоюз | Обеспечивает соблюдение директивы PSD2 и выдает лицензии поставщикам платежных услуг. |
| FinCEN (Сеть по борьбе с финансовыми преступлениями) | Соединенные Штаты | Применение мер по борьбе с отмыванием денег, Закон о банковской тайне, рекомендации по криптовалютам. |
| ФТК (Федеральная торговая комиссия) | Соединенные Штаты | Защита данных потребителей, недобросовестная практика оплаты |
| ICO / Органы по защите данных | ЕС и Великобритания | Применение GDPR |
| центральные банки | Каждая страна | Выдавать лицензии и осуществлять надзор за поставщиками платежных услуг на местном уровне. |
Например, продавец из ЕС, принимающий американские карты от иностранных клиентов, одновременно сталкивается с требованиями PCI DSS, GDPR и, возможно, рекомендациями FinCEN. Управление этим пересечением — вот что означает соблюдение требований в сфере платежей и нормативно-правового регулирования, когда ваш бизнес выходит за рамки национальных границ.
Основные правила соблюдения требований в сфере платежей: разъяснение
Пять правил определяют основную часть того, что должны делать большинство предприятий. Каждое из них направлено на различную область риска и предусматривает свою собственную систему штрафных санкций.
- PCI DSS — Стандарт безопасности данных платежных карт — применяется ко всем организациям, которые хранят, обрабатывают или передают данные держателей карт. Он устанавливает 12 технических и операционных требований. Штрафы за несоблюдение составляют от 5000 до 100 000 долларов в месяц в зависимости от серьезности нарушения.
- PSD2 — Директива ЕС о платежных услугах № 2 регулирует деятельность поставщиков платежных услуг на всей территории Европейской экономической зоны. Главное требование — это усиленная аутентификация клиента (SCA) для электронных транзакций. Штрафы могут достигать 5 миллионов евро или 3% от годового дохода в мировом масштабе.
- AML/KYC — Правила борьбы с отмыванием денег требуют от предприятий проверки личности клиентов (Know Your Customer — «Знай своего клиента»), мониторинга транзакций на предмет подозрительной активности и подачи отчетов о подозрительной деятельности. Эти правила основаны на национальном законодательстве, разработанном на основе рекомендаций FATF.
- GDPR / CCPA — Общий регламент ЕС по защите данных и Закон Калифорнии о защите конфиденциальности потребителей устанавливают правила защиты данных в сфере платежей, регулируя сбор, хранение и обработку персональных данных и платежной информации. Штрафы по GDPR достигают 20 миллионов евро или 4% от годового оборота компании в мире. Штраф в размере 405 миллионов евро, наложенный на Meta в 2022 году, подтвердил, что регулирующие органы будут применять меры в масштабах всей страны.
- Правила BSA/FinCEN — Закон США о банковской тайне требует от финансовых учреждений и компаний, предоставляющих услуги по переводу денежных средств, соблюдения программ противодействия отмыванию денег, отчетности о операциях с наличными средствами на сумму свыше 10 000 долларов и подачи отчетов о подозрительных транзакциях (SAR). FinCEN распространил эти обязательства на криптовалютные компании, работающие в США.
PCI DSS 4.0: Основа безопасности платежных данных
Большинство онлайн-компаний сталкиваются с требованиями PCI DSS раньше, чем с какими-либо другими нормативными актами. Версия 4.0 была окончательно утверждена в 2022 году и полностью вступила в силу с апреля 2025 года, внеся существенные изменения, о которых должны знать продавцы и платежные системы.
Уровень соответствия требованиям зависит от годового объема транзакций по картам:
- Уровень 1 : Более 6 миллионов транзакций в год — ежегодная проверка на месте квалифицированным специалистом по оценке безопасности (QSA).
- Уровень 2 : 1–6 миллионов транзакций в год — ежегодная анкета самооценки (SAQ) плюс ежеквартальное сканирование сети.
- Уровень 3 : 20 000–1 миллион транзакций в электронной коммерции в год — анкета SAQ плюс ежеквартальные проверки.
- Уровень 4 : Менее 20 000 транзакций в электронной коммерции в год — рекомендуется заполнить анкету SAQ.
Что изменилось в версии 4.0 по сравнению с версией 3.2.1:
- Индивидуальный подход : теперь компании могут внедрять альтернативные методы контроля, соответствующие требованиям, вместо того чтобы в точности следовать предписанным техническим спецификациям.
- Обязательная многофакторная аутентификация : теперь многофакторная аутентификация требуется для всего доступа к среде данных держателя карты, а не только для удаленных сеансов.
- Обучение по борьбе с фишингом и социальной инженерией : целенаправленное обучение по повышению осведомленности является формальным требованием, а не рекомендацией.
- Более надёжные пароли : минимум 12 символов (вместо 8), с автоматической сменой каждые 90 дней для учётных записей с высокими привилегиями.
Последствия игнорирования стандарта PCI DSS очень серьезны. Когда в 2008 году компания Heartland Payment Systems подверглась взлому, общие потери превысили 200 миллионов долларов. Акции упали на 50% за несколько дней и потеряли 77% своей стоимости, прежде чем смогли восстановиться. Малые предприятия обычно не переживают подобных ситуаций.
Отмывание денег и KYC: выявление финансовых преступлений на источнике.
Соответствие требованиям AML означает создание систем, которые выявляют финансовые преступления до того, как они проникнут на вашу платформу. KYC — уровень проверки личности — это то, что делает этот мониторинг возможным.
Что на самом деле требуется для соблюдения требований по борьбе с отмыванием денег:
- Мониторинг транзакций : автоматизированные системы, выявляющие необычные закономерности — крупные переводы, быстрое перемещение средств, структурирование (разбиение транзакций для соблюдения требований к отчетности).
- Подача отчета о подозрительной деятельности (SAR) : при обнаружении подозрительной активности отчет о подозрительной деятельности должен быть направлен в соответствующий орган в установленные сроки.
- Проверка на соответствие санкциям : каждый клиент и контрагент проверяется в режиме реального времени на соответствие санкционным спискам OFAC, ООН и ЕС.
- Проверка благонадежности клиента (CDD) : постоянный анализ профиля риска, а не просто разовая проверка при приеме на работу.
- Усиленная комплексная проверка (УКП) : более тщательная проверка клиентов с высоким риском — политически значимых лиц (ПЗЛ) и всех, кто проживает в юрисдикциях с высоким риском.
Процедура KYC при регистрации обычно включает проверку документов (удостоверение личности государственного образца, подтверждение адреса проживания) и проверку на подлинность. Современные решения eKYC обрабатывают это за считанные секунды с помощью искусственного интеллекта; для любой компании, осуществляющей регистрацию в больших масштабах, это стало стандартом.
Правило FATF о передаче информации добавляет специфический уровень для криптовалют: поставщики услуг виртуальных активов обязаны собирать и передавать информацию об отправителе и получателе при переводах на сумму свыше 1000 долларов. Точный порог немного варьируется в зависимости от юрисдикции, но это обязательство применяется независимо от того, идет ли речь о биткоинах, стейблкоинах или любом другом цифровом активе.
Требования PSD2, SCA и Open Banking
Директива PSD2 изменила систему аутентификации для поставщиков платежных услуг по всему ЕС. Ее основная задача, строгая аутентификация клиента, теперь является стандартом для любой платежной системы, работающей в Европейской экономической зоне.
Для аутентификации по SCA требуется использование как минимум двух из трех независимых факторов:
- Что-то, что вы знаете : пароль, ПИН-код, контрольный вопрос
- Что-то, что у вас есть : мобильный телефон, аппаратный токен, смарт-карта
- То, чем вы являетесь : отпечаток пальца, распознавание лица, голосовой паттерн.
3D Secure 2.0 — это основной технический стандарт для реализации SCA (Single Control Access) при транзакциях без физического присутствия карты. Он передает сигналы риска между продавцом, платежной системой и банком-эмитентом, позволяя беспрепятственно осуществлять транзакции с низким уровнем риска.
Исключения из требований SCA существуют для того, чтобы уменьшить ненужные сложности:
| Освобождение от ответственности | Состояние |
|---|---|
| Транзакции с низкой стоимостью | Менее 30 евро (до 5 последовательных транзакций или 100 евро в сумме) |
| Доверенные бенефициары | Клиент предварительно авторизовал получателя платежа. |
| Регулярные платежи фиксированной суммы | Одинаковая сумма одному и тому же получателю платежа в каждом периоде. |
| Корпоративные платежные инструменты | Специализированные протоколы для бизнес-платежей |
| Анализ транзакционных рисков | Показатель мошенничества в режиме реального времени ниже установленного порогового значения |
Директива PSD2 также обязывает к открытому банковскому обслуживанию. Банки обязаны предоставлять лицензированным сторонним поставщикам доступ к данным счетов клиентов через API с согласия клиента. Соблюдение этих правил доступа является условием лицензирования, а не факультативным требованием.
Соблюдение требований к платежам в сфере криптовалют и цифровых активов
Большинство руководств по соблюдению требований в сфере платежей ограничиваются платежами по картам и банковскими переводами. Это реальный пробел. Криптовалютные компании, платежные шлюзы и предприятия, работающие с цифровыми активами, несут на себе всю тяжесть регулирования в области противодействия отмыванию денег и идентификации клиентов, а также постоянно расширяющийся слой правил, специфичных для криптовалют.
Поставщики услуг виртуальных активов (VASP) — криптовалютные биржи, кошельки, платежные шлюзы — рассматриваются как финансовые учреждения в целях противодействия отмыванию денег в соответствии с рекомендациями FATF. На практике это означает:
- Полная процедура KYC при регистрации, постоянный мониторинг транзакций и выполнение обязательств по подаче отчетов о подозрительных транзакциях (SAR).
- Правило FATF о передаче данных : для переводов на сумму более 1000 долларов США необходимо, чтобы имя отправителя, номер счета отправителя и данные получателя передавались вместе с транзакцией.
- Регистрация в FinCEN в качестве организации, предоставляющей финансовые услуги, для криптовалютных компаний, базирующихся в США.
- Лицензирование в соответствии с Регламентом ЕС о рынках криптоактивов ( EU MiCA ), действующим с 2024 года, охватывает требования к резервам, правила защиты потребителей и обязательства по раскрытию информации для эмитентов стейблкоинов и поставщиков криптоуслуг.
Практическая сложность заключается в том, что соответствие нормативным требованиям должно функционировать для сотен активов и блокчейнов, каждый из которых имеет различную степень окончательности расчетов и отслеживаемости. Создание такой системы с нуля — дорогостоящий и медленный процесс.
Plisio обеспечивает соответствие нормативным требованиям на уровне платежного шлюза, поддерживая более 200 криптовалют, а также обеспечивая мониторинг транзакций, совместимый с требованиями AML, и упрощенную процедуру регистрации продавцов в соответствии с процедурами KYC. Для компаний электронной коммерции, которые хотят принимать криптовалюту, не создавая собственную инфраструктуру соответствия нормативным требованиям, выбор платежного шлюза, который берет на себя эту нормативную сложность, является практичным решением.
Как создать рабочий процесс обеспечения соответствия платежным требованиям
Соблюдение нормативных требований — это не инструмент, который можно включить. Это непрерывный процесс, и он дает сбой, если рассматривать его как разовую задачу.
- Проведите оценку вашей среды — составьте карту каждой системы, которая взаимодействует с платежными данными: страницы оформления заказа, процессоры, базы данных, интеграции со сторонними сервисами. Стандарт PCI DSS охватывает только то, что входит в его область действия, и большинство нарушений происходит в тех областях, которые никогда не были включены в оценку.
- Проведите анализ пробелов в соблюдении нормативных требований — оцените существующие меры контроля на соответствие стандартам PCI DSS, требованиям AML/KYC и GDPR (или CCPA). Запишите, чего не хватает, а не только то, что уже есть.
- Внедрите технические средства контроля — токенизация заменяет номера карт на неконфиденциальные токены; шифрование обеспечивает защиту данных как при передаче, так и при хранении. Только эти два шага позволяют исключить большую часть сферы действия стандарта PCI DSS.
- Настройте мониторинг транзакций — автоматизированные системы должны выявлять подозрительные транзакции в режиме реального времени. Определите правила оповещения, очереди проверки и пути эскалации до запуска системы, а не после.
- Обучайте персонал — социальная инженерия и фишинг приводят к большему количеству нарушений, чем технические сбои. Стандарт PCI DSS 4.0 теперь требует проведения целенаправленного обучения по вопросам информационной безопасности; рассматривайте это как реальную меру контроля.
- Документируйте всё — политики, процедуры, журналы аудита, планы реагирования на инциденты. Регуляторы требуют документацию как доказательство ваших намерений и возможностей, а не просто наличия функционирующих систем.
- Регулярно проводите аудиты — ежегодные оценки соответствия стандарту PCI DSS, ежеквартальное сканирование сети и постоянные проверки программы противодействия отмыванию денег. Отклонение от требований без активного поддержания соответствия.
- Выбирайте партнеров, соответствующих требованиям PCI DSS — ваши партнеры по обработке платежей , платежные шлюзы и банки несут совместную ответственность. Партнер, который обеспечивает соблюдение PCI DSS на уровне инфраструктуры, значительно сужает вашу сферу ответственности.
Передовые методы обеспечения соответствия нормативным требованиям в сфере платежей для электронной коммерции
После запуска программы контроля за платежами, соблюдение этих правил поможет предотвратить ее незаметный крах:
- Используйте шлюз, сертифицированный по стандарту PCI DSS уровня 1 — это перекладывает обработку данных держателей карт на поставщика услуг, обычно сокращая область действия стандарта PCI DSS до SAQ A.
- Включение 3D Secure 2.0 снижает риск мошенничества при операциях без физического присутствия карты и соответствует требованиям EU SCA.
- Все данные токенизируйте — замените номера карт токенами в точке ввода; необработанные данные держателей карт никогда не должны храниться в ваших системах.
- Внедрите технологию идентификации устройств по отпечаткам пальцев и геолокацию по IP-адресу — это позволит создавать сигналы предотвращения мошенничества на основе поведенческих данных без усложнения процесса оформления заказа.
- Применяйте принципы минимизации данных — в соответствии с GDPR, собирайте только необходимые данные, храните их только до тех пор, пока это требуется, и удаляйте по расписанию.
- Перед включением платежей необходимо проверять продавцов — на торговой площадке или платформе требования к регистрации распространяются и на субпродавцов.
- Необходимо иметь план реагирования на инциденты — GDPR требует уведомления регулирующих органов о нарушении в течение 72 часов; в большинстве штатов США этот срок составляет 30 дней. Непроверенный план — это всего лишь документ.
