Відповідність платежам: ключові правила та найкращі практики
Кожен бізнес, який переміщує гроші, має проблеми з дотриманням вимог. Карткові транзакції, оформлення замовлення в електронній комерції, криптовалютні платежі — не має значення, який канал. Правила застосовуються, штрафи реальні, а їх ігнорування рідко закінчується мирним шляхом.
Складність дотримання вимог щодо платежів полягає в незнанні про його існування. Важко зрозуміти, які правила застосовуються до вашого конкретного бізнесу, як вони взаємодіють одне з одним і що вам насправді потрібно робити. Саме це й розглядається в цьому посібнику.
Що таке дотримання вимог щодо платежів і чому це важливо
Запитайте у п'яти різних платіжних операторів, що означає «дотримання вимог щодо платежів», і ви, ймовірно, отримаєте п'ять різних відповідей. На практиці це охоплює повний набір правил, що регулюють процес збору, зберігання, передачі та обробки платіжних даних компаніями. Ці правила існують тому, що коли платіжні системи дають збій — через шахрайство, відмивання грошей або витік даних — шкода поширюється швидко та широко.
Ці зобов'язання поширюються на підприємства, які фактично мають справу з грошима в цифровому форматі. Інтернет-магазини, SaaS-платформи, торговельні майданчики, фінтех-компанії, криптовалютні торговці. Правила не мають винятків щодо розміру. Стартап з десяти осіб стикається з тими ж основними вимогами, що й велике підприємство.
Цифри, які ставлять ставки в перспективу: прогнозовані втрати від шахрайства з платежами та електронної комерції становитимуть 343 мільярди доларів у період між 2023 і 2027 роками . Звіт Verizon про безпеку платежів за 2023 рік показав, що 64% компаній досі не дотримуються повної відповідності стандарту PCI DSS. А один витік даних може призвести до судових позовів, примусових аудитів та санкцій до мереж карток, вирішення яких займає роки.
Дотримання вимог зберігає доступ до платіжної мережі відкритим. Його втрата — через порушення або витік — може назавжди закрити ці двері.
Хто регулює дотримання вимог щодо платежів у світі
Жоден єдиний орган не займається дотриманням правил платежів у всьому світі. Різноманітні органи встановлюють стандарти та забезпечують дотримання правил у різних юрисдикціях, і більшість підприємств зрештою відповідають перед кількома.
| Регулятор | Юрисдикція | Сфера застосування |
|---|---|---|
| PCI SSC (Рада зі стандартів безпеки індустрії платіжних карток) | Глобальний | Встановлює PCI DSS — базовий стандарт безпеки даних для карткових платежів |
| FATF (Група з розробки фінансових заходів боротьби з відмиванням коштів) | Глобальний (понад 40 країн-членів) | Встановлює стандарти боротьби з відмиванням коштів та фінансуванням тероризму |
| ЄБА / ЄЦБ | Європейський Союз | Забезпечує виконання PSD2, ліцензує постачальників платіжних послуг |
| FinCEN (Мережа боротьби з фінансовими злочинами) | Сполучені Штати | Застосування заходів боротьби з відмиванням коштів, Закон про банківську таємницю, керівництво по криптовалютах |
| ФТК (Федеральна торгова комісія) | Сполучені Штати | Захист даних споживачів, недобросовісна платіжна практика |
| ICO / Органи захисту даних | ЄС та Велика Британія | Застосування GDPR |
| Центральні банки | Кожна країна | Ліцензування та нагляд за постачальниками платіжних послуг на місцевому рівні |
Наприклад, торговець, що базується в ЄС, приймає картки США від міжнародних клієнтів, одночасно має справу з вимогами PCI DSS, GDPR та, можливо, інструкціями FinCEN. Управління цим дублюванням – це те, як виглядає дотримання вимог щодо платежів та дотримання нормативних вимог, коли ваш бізнес перетинає кордони.
Пояснення ключових правил дотримання вимог щодо платежів
П'ять нормативних актів визначають основну частину того, що має робити більшість підприємств. Кожен з них спрямований на певну сферу ризику та має власну структуру штрафів.
- PCI DSS — Стандарт безпеки даних індустрії платіжних карток застосовується до будь-якої організації, яка зберігає, обробляє або передає дані власників карток. Він визначає 12 технічних та операційних вимог. Штрафи за невідповідність становлять від 5000 до 100 000 доларів США на місяць залежно від тяжкості порушення.
- PSD2 — Директива ЄС про платіжні послуги 2 регулює діяльність постачальників платіжних послуг у Європейській економічній зоні. Головною вимогою є сувора автентифікація клієнта (SCA) для електронних транзакцій. Штрафи можуть сягати 5 мільйонів євро або 3% від світового річного доходу.
- AML/KYC — Правила боротьби з відмиванням грошей вимагають від підприємств перевіряти особу клієнтів («Знай свого клієнта»), контролювати транзакції на предмет підозрілої активності та подавати звіти про підозрілу діяльність. Ці правила випливають із національного законодавства, розробленого на основі рекомендацій FATF.
- GDPR / CCPA — Загальний регламент ЄС про захист даних та Закон Каліфорнії про конфіденційність споживачів встановлюють правила конфіденційності даних у платежах, регулюючи, як збираються, зберігаються та обробляються персональні дані та платіжна інформація. Штрафи GDPR сягають 20 мільйонів євро або 4% від світового річного обороту. Штраф у розмірі 405 мільйонів євро, стягнутий компанією Meta у 2022 році, підтвердив, що регуляторні органи будуть застосовувати заходи у великих масштабах.
- Правила BSA / FinCEN — Закон США про банківську таємницю вимагає від фінансових установ та компаній, що надають грошові послуги, підтримувати програми боротьби з відмиванням грошей, повідомляти про готівкові операції на суму понад 10 000 доларів США та подавати звіти про неправомірні дії (SAR). FinCEN поширив ці зобов'язання на криптовалютні компанії, що працюють у США.
PCI DSS 4.0: Основа безпеки платіжних даних
Більшість онлайн-бізнесів досягли стандарту PCI DSS раніше за будь-які інші нормативні акти. Версія 4.0 була завершена у 2022 році та повністю набула чинності з квітня 2025 року, що принесло суттєві зміни, про які повинні знати продавці та постачальники платіжних послуг.
Рівень відповідності залежить від річного обсягу транзакцій за карткою:
- Рівень 1 : Понад 6 мільйонів транзакцій/рік — щорічний аудит на місці кваліфікованим оцінювачем безпеки (QSA)
- Рівень 2 : 1–6 мільйонів транзакцій/рік — щорічна анкета самооцінки (SAQ) плюс щоквартальне сканування мережі
- Рівень 3 : 20 000–1 мільйон транзакцій електронної комерції/рік — SAQ плюс щоквартальні сканування
- Рівень 4 : менше 20 000 транзакцій електронної комерції на рік — рекомендовано за допомогою самооцінювального опитування (SAQ)
Що змінилося у версії 4.0 порівняно з версією 3.2.1:
- Індивідуальний підхід : компанії тепер можуть впроваджувати альтернативні засоби контролю, що відповідають меті вимоги, замість того, щоб точно дотримуватися встановлених технічних специфікацій.
- Обов'язкова багатофакторна автентифікація : багатофакторна автентифікація тепер потрібна для всіх видів доступу до середовища даних власників карток, а не лише для віддалених сеансів.
- Навчання з фішингу та соціальної інженерії : цільове навчання з підвищення обізнаності є формальною вимогою, а не рекомендацією
- Надійніші паролі : мінімум 12 символів (більше ніж 8), з автоматичною ротацією кожні 90 днів для облікових записів з високими привілеями
Ціна ігнорування стандарту PCI DSS є серйозною. Коли у 2008 році компанія Heartland Payment Systems зазнала порушення, загальні збитки перевищили 200 мільйонів доларів. Акції впали на 50% протягом кількох днів і втратили 77% своєї вартості, перш ніж відновилися. Малий бізнес зазвичай не переживає такого.
AML та KYC: виявлення фінансових злочинів у джерелі
Дотримання вимог AML означає створення систем, які виявляють фінансові злочини до того, як вони пройдуть через вашу платформу. KYC — рівень перевірки особи — саме це робить можливим такий моніторинг.
Що насправді вимагає дотримання вимог щодо боротьби з відмиванням грошей:
- Моніторинг транзакцій : автоматизовані системи, що виявляють незвичайні моделі — великі перекази, швидкі рухи коштів, структурування (розбиття транзакцій, щоб залишатися в межах порогових значень звітності)
- Подання SAR : у разі виявлення підозрілої активності, Звіт про підозрілу діяльність має бути надісланий до відповідного органу влади у встановлені терміни.
- Перевірка санкцій : кожен клієнт та контрагент перевіряється на відповідність санкційним спискам OFAC, ООН та ЄС у режимі реального часу.
- Належна перевірка клієнта (CDD) : постійний огляд профілю ризику, а не лише одноразова перевірка при введенні в експлуатацію
- Посилена перевірка належної перевірки (EDD) : ретельніше вивчення клієнтів з високим рівнем ризику — політично значущих осіб (PEP) та будь-кого з юрисдикції з високим рівнем ризику
KYC (Знай свого клієнта) під час адаптації зазвичай означає перевірку документів (державне посвідчення особи, підтвердження адреси) плюс перевірку дійсності. Рішення eKYC тепер обробляють це за лічені секунди за допомогою штучного інтелекту; для будь-якого масштабного бізнесу, що адаптується до роботи, це стало стандартом.
Правило FATF щодо подорожей додає специфічний для криптовалют рівень: постачальники послуг віртуальних активів повинні збирати та передавати інформацію про відправника та одержувача щодо переказів на суму понад 1000 доларів США. Точний поріг дещо відрізняється залежно від юрисдикції, але зобов'язання застосовується незалежно від того, чи є переказ біткойном, стейблкоїнами чи будь-яким іншим цифровим активом.
Вимоги PSD2, SCA та відкритого банкінгу
PSD2 змінила автентифікацію для постачальників платіжних послуг по всьому ЄС. Її основний мандат, Надійна автентифікація клієнта, тепер є стандартом для будь-якої платіжної служби, що працює в Європейській економічній зоні.
SCA вимагає автентифікації з використанням щонайменше двох із трьох незалежних факторів:
- Щось, що ви знаєте : пароль, PIN-код, секретне питання
- Щось, що у вас є : мобільний телефон, апаратний токен, смарт-картка
- Щось, що ви собою представляєте : відбиток пальця, розпізнавання обличчя, голосовий зразок
3D Secure 2.0 – це основний технічний стандарт для впровадження SCA для транзакцій без пред'явлення картки. Він передає сигнали ризику між продавцем, мережею карток та банком-емітентом, пропускаючи транзакції з низьким рівнем ризику без перешкод.
Винятки щодо SCA існують для зменшення непотрібних тертя:
| Звільнення | Хвороба |
|---|---|
| Транзакції з низькою вартістю | Менше 30 євро (до 5 послідовних транзакцій або 100 євро сукупно) |
| Довірені бенефіціари | Клієнт попередньо авторизував отримувача платежу |
| Регулярні платежі фіксованої суми | Однакова сума тому самому одержувачу платежу кожного періоду |
| Інструменти корпоративних платежів | Спеціалізовані протоколи бізнес-платежів |
| Аналіз ризиків транзакцій | Оцінка шахрайства в режимі реального часу нижче визначеного порогу |
PSD2 також вимагає відкритого банкінгу. Банки повинні надавати ліцензованим стороннім постачальникам доступ до даних рахунків клієнтів через API за згодою клієнта. Дотримання цих правил доступу є умовою ліцензування, а не необов'язковим.
Дотримання вимог щодо платежів у сфері криптовалют та цифрових активів
Більшість посібників з дотримання вимог щодо платежів обмежуються картковими платежами та банківськими переказами. Це справжня прогалина. Криптовалютні продавці, платіжні шлюзи та бізнеси з цифровими активами несуть повний тягар регулювання AML/KYC, а також зростаючий рівень правил, специфічних для криптовалют.
Постачальники послуг віртуальних активів (VASP) — криптобіржі, гаманці, платіжні шлюзи — згідно з інструкціями FATF вважаються фінансовими установами для цілей боротьби з відмиванням грошей. На практиці це означає:
- Повний контроль клієнта (KYC) під час реєстрації, постійний моніторинг транзакцій та зобов'язання щодо подання SAR
- Правило FATF щодо перевезень : для переказів понад 1000 доларів США необхідно вказати ім'я відправника, номер рахунку ініціатора та дані одержувача.
- Реєстрація у FinCEN як компанії з надання грошових послуг для криптовалютних компаній, що базуються в США
- Ліцензування згідно з EU MiCA (Регламент ринків криптоактивів), чинним з 2024 року, що охоплює вимоги до резервування, правила захисту прав споживачів та зобов'язання щодо розкриття інформації для емітентів стейблкоїнів та постачальників криптопослуг.
Практична проблема полягає в тому, що відповідність вимогам має функціонувати для сотень активів та блокчейнів, кожен з яких має різну остаточність розрахунків та відстежуваність. Створення цього з нуля є дорогим та повільним.
Plisio забезпечує відповідність на рівні шлюзу, підтримуючи понад 200 криптовалют, зберігаючи при цьому моніторинг транзакцій, сумісний з AML, та адаптацію продавців до вимог KYC. Для компаній електронної комерції, які хочуть приймати криптовалюту без самостійного створення інфраструктури відповідності, практичним шляхом є вибір шлюзу, який поглинає цю регуляторну складність.
Як створити робочий процес дотримання вимог щодо платежів
Відповідність вимогам — це не інструмент, який ви вмикаєте. Це процес, який працює безперервно, і він руйнується, якщо розглядати його як одноразовий проект.
- Охопіть своє середовище — відстежте кожну систему, яка стосується платіжних даних: сторінки оформлення замовлення, процесори, бази даних, інтеграції третіх сторін. PCI DSS охоплює лише те, що входить до сфери застосування, і більшість порушень трапляються в тих аспектах, які ніколи не були охоплені сферою застосування.
- Проведіть аналіз прогалин у відповідності — Оцініть відповідність поточних засобів контролю вимогам PCI DSS, AML/KYC та GDPR (або CCPA). Запишіть, чого бракує, а не лише те, що є.
- Впровадження технічних засобів контролю — токенізація замінює номери карток на неконфіденційні токени; шифрування охоплює дані як під час передачі, так і в стані спокою. Ці два кроки самі по собі більшу частину дії PCI DSS виключають.
- Налаштуйте моніторинг транзакцій — Автоматизовані системи повинні позначати підозрілі транзакції в режимі реального часу. Визначте правила сповіщень, перевірте черги та шляхи ескалації до запуску, а не після.
- Навчання персоналу — соціальна інженерія та фішинг спричиняють більше порушень, ніж технічні збої. Стандарт PCI DSS 4.0 тепер вимагає цілеспрямованого навчання з питань безпеки; ставтеся до нього як до фактичного засобу контролю.
- Документуйте все — політики, процедури, журнали аудиту, плани реагування на інциденти. Регулятори хочуть, щоб документація була доказом вашого наміру та можливостей, а не лише функціонування систем.
- Плануйте регулярні аудити — щорічні оцінки PCI DSS, щоквартальні сканування мережі та поточні перевірки програми AML. Відхилення від відповідності без активного обслуговування.
- Оберіть платіжних партнерів, які відповідають вимогам — ваші партнери-обробники, шлюзи та банківські партнери несуть спільну відповідальність. Партнер, який обробляє PCI DSS на рівні інфраструктури, значно скорочує ваш обсяг робіт.
Найкращі практики дотримання вимог щодо платежів для електронної комерції
Після того, як ваша програма дотримання вимог щодо платежів запрацює, ці методи запобігають її непомітному розпаду:
- Використовуйте шлюз, сертифікований за стандартом PCI DSS рівня 1, — перекладає обробку даних власників карток на постачальника, зазвичай зменшуючи обсяг вашої перевірки PCI DSS до рівня самооцінки A.
- Увімкніть 3D Secure 2.0 — зменшує відповідальність за шахрайство під час транзакцій без пред'явлення картки та відповідає вимогам EU SCA
- Токенізуйте все — замініть номери карток токенами в точці входу; необроблені дані власників карток ніколи не повинні зберігатися у ваших системах.
- Розгортання відбитків пальців пристроїв та геолокації IP-адрес — створення сигналів запобігання шахрайству на основі поведінкових даних без додавання труднощів при оформленні замовлення
- Застосовуйте мінімізацію даних — згідно з GDPR, збирайте лише те, що вам потрібно, зберігайте лише стільки, скільки потрібно, видаляйте за розкладом
- Перевірте продавців, перш ніж увімкнути платежі — на торговельному майданчику або платформі відповідність вимогам щодо адаптації поширюється також на субпродавців
- Підтримуйте план реагування на інциденти — GDPR вимагає повідомлення регуляторних органів про порушення протягом 72 годин; більшість штатів США вимагають 30 днів. Неперевірений план — це просто документ.
