Безопасность и закон в эквайринге для ООО: 54‑ФЗ, 152‑ФЗ и PCI DSS
Table of contents
Зачем ООО нужна безопасность эквайринга
Безопасность эквайринга для ООО — это не только защита платежей клиентов, но и соответствие российскому и международному регулированию. В связке «54‑ФЗ, 152‑ФЗ и PCI DSS для эквайринга» каждое требование закрывает свой риск: кассовая дисциплина и фискализация, защита персональных данных и безопасность карточной информации. Игнорирование любого блока приводит к убыткам от мошенничества, чарджбеков, блокировкам платежей и штрафам.
![Схема потоков данных при интернет-эквайринге: покупатель — сайт ООО — платёжный шлюз — банк-эквайер — OFD — ФНС]
Полезно заранее определить, какой канал будет ключевым: интернет‑эквайринг, торговый (POS) эквайринг или связка «касса с эквайрингом». От этого зависят интеграция с ККТ, настройки антифрода и объём обязанностей по PCI DSS.
54‑ФЗ и эквайринг: касса, чеки, OFD
54‑ФЗ эквайринг ООО связывает с применением онлайн‑кассы при расчётах. Для карт и онлайн‑платежей нужно:
- зарегистрировать ККТ и фискальный накопитель;
- выдавать чек (бумажный или электронный) при полном/частичном расчёте или предоплате;
- передавать данные в ОФД и ФНС;
- указывать все обязательные реквизиты, включая способ и признак расчёта.
В e‑commerce особенно важны корректные «признаки расчёта»: при предавторизации с последующим списанием — сначала «предоплата», затем «полный расчёт». В чек нужно передать номенклатуру, ставку НДС, контакт покупателя, адрес сайта/магазина. Большинство платёжных провайдеров предоставляет фискальные шлюзы и помогает соблюдать 54‑ФЗ. Проверьте это при выборе решения для интернет‑эквайринга.
Совет: если вы используете кассу с эквайрингом, убедитесь, что терминал и ККТ корректно связаны: оплата картой должна автоматически пробивать чек с признаком «электронно».
Интернет‑ и торговый эквайринг: различия в комплаенсе
- Интернет: нужны политика конфиденциальности, согласия на обработку ПДн, защита кабинета и админки сайта, корректная интеграция с ККТ и ОФД, 3‑D Secure 2, антифрод и мониторинг транзакций.
- POS/торговый эквайринг: физическая безопасность терминала, контроль замены ПО, экранирование PIN‑пада, обучение персонала; чек пробивается на кассе. В части PCI DSS чаще всего всё в зоне банка, но у ООО остаются обязанности по безопасной эксплуатации устройства.
Подробнее о типах и сценариях — в обзоре «Обязательный эквайринг: виды деятельности» и «Эквайринг 2025».
152‑ФЗ: хранение персональных данных и локализация
152‑ФЗ защищает ПДн клиентов (ФИО, телефон, e‑mail, адрес, иногда — маскированные данные карты, токены). Ключевые требования для ООО:
- правовое основание: договор оферты/заказа и, при необходимости, согласие на обработку ПДн;
- локализация: первичный учёт и хранение ПДн граждан РФ — на серверах в России;
- минимизация: собирайте только нужные для сделки данные;
- договоры с порученными обработчиками (банк‑эквайер, платёжный шлюз, колл‑центр) с указанными мерами безопасности;
- меры защиты: разграничение доступа, журналирование, резервное копирование, обучение сотрудников;
- уничтожение/обезличивание по истечении сроков хранения.
Хранение персональных данных стройте отдельно от карточной информации. CVV/CVC хранить нельзя; PAN допускается только в зашифрованной, сокращённой форме и с бизнес‑необходимостью (см. PCI DSS ниже). Для интернет‑магазинов безопаснее использовать токены провайдера, а не хранить PAN у себя.
PCI DSS для эквайринга: области применения и SAQ
PCI DSS — международный стандарт безопасности данных платёжных карт. Он обязателен для всех участников, которые хранят, обрабатывают или передают карточные данные. Что это значит для ООО:
- Если используется хостед‑страница банка/платёжного шлюза или встроенный виджет с токенизацией, часто достаточно опросника SAQ A (минимальный объём требований).
- Если платежная форма хостится на вашем домене (A‑EP), зона ответственности расширяется: веб‑серверы, код, уязвимости, WAF.
- Если вы напрямую обрабатываете/храните PAN (редко и нежелательно), понадобится SAQ D — максимальный объём.
Минимальный набор практик вне зависимости от SAQ:
- не хранить CVV/CVC и полные треки;
- использовать 3‑D Secure 2.0 и токенизацию;
- включить шифрование данных в транзите (TLS 1.2+), сильные пароли и 2FA для админ‑доступа;
- поддерживать актуальные версии CMS/плагинов, проводить регулярные сканирования уязвимостей;
- вести журналы событий и мониторинг.
Антифрод и мониторинг: как снижать риск
Антифрод и мониторинг — «первый рубеж» против мошеннических транзакций и будущих чарджбеков.
Инструменты:
- 3‑D Secure 2.0 с RBA (risk‑based authentication);
- поведенческие модели и device fingerprinting;
- скоринг по BIN, стране, IP, прокси/VPN, частоте заказов;
- списки: «чёрные»/«белые», проверка e‑mail и телефонов;
- лимиты по суммам и количеству попыток;
- ручная модерация «подозрительных» заказов.
Практика: автоматически отклоняйте высокорисковые комбинации (например, несовпадение страны карты и доставки + прокси + дорогой товар). Совместно с банком‑эквайером настройте антифрод‑правила и мониторинг аномалий.
Чарджбеки и споры: профилактика и процесс оспаривания
Чарджбеки и споры возникают по причинам «fraud», «не получен товар», «не соответствует описанию», «дубликат списания» и др. Что делать ООО:
- профилактировать: чёткий оффер, понятный чек‑аут, наглядный descriptor, уведомления о заказе, SLA по доставке и возвратам;
- собирать доказательства: подтверждение доставки, переписку, логи, скриншоты, чеки, ТТН;
- соблюдать сроки представления возражений у банка‑эквайера (обычно до 7–14 дней с момента запроса);
- анализировать причины и обновлять антифрод‑правила.
![Воронка чарджбеков: транзакция — претензия — представление — преарбитраж — арбитраж]
Роли и зоны ответственности: банк‑эквайер vs ООО
Ниже — краткая матрица ролей в части безопасности и закона.
| Процесс |
Банк‑эквайер/PSP |
ООО |
| Фискализация по 54‑ФЗ |
Фискальный шлюз, передачи в ОФД (если в решении) |
Корректные данные для чека, ККТ на учёте |
| 152‑ФЗ ПДн |
Контракт обработки, защищённая передача |
Политики, согласия, локализация, доступы |
| PCI DSS |
Сертификация шлюза/терминалов |
Соблюдение SAQ, безопасная интеграция, физ. безопасность POS |
| Антифрод |
Правила и скоринг, 3DS |
Настройка правил, верификация заказов |
| Чарджбеки |
Канал споров, регламенты |
Доказательная база, соблюдение сроков |
При выборе партнёра сравните банки: Сбербанк, ВТБ, Тинькофф и другие — у каждого разная глубина антифрода, интеграция с ККТ и поддержка споров.
Пошаговая дорожная карта соответствия
- Определите канал приёма платежей: онлайн, POS, смешанный. Оцените транзакционные объёмы и MCC.
- Выберите провайдера с готовой фискализацией и токенизацией. Сравните тарифы эквайринга и возможности антифрода.
- Настройте 54‑ФЗ: ККТ, OFD, корректные признаки расчёта, автоматическая отправка чеков.
- 152‑ФЗ: обновите политику конфиденциальности, формы согласий, договоры поручения; проверьте локализацию БД.
- PCI DSS: выберите модель интеграции (Hosted/Widget/Direct), выполните соответствующий SAQ, включите 3DS 2.0.
- Внедрите антифрод‑правила: лимиты, скоринг, ручные проверки, управление чёрными списками.
- Подготовьте процесс по чарджбекам: контакты, сроки, чек‑лист доказательств.
- Обучите команду: кассиры, колл‑центр, поддержка, разработчики.
- Введите мониторинг и отчётность: дашборды отказов, фрода, споров, конверсию 3DS.
- Проводите регулярные аудиты и тесты: обновления, резервное копирование, контроль доступа.
Поможет пошаговый гайд «Как подключить эквайринг» и материалы по снижению комиссии.
Типичные ошибки и штрафные риски
- Отсутствие/ошибки в чек‑оформлении по 54‑ФЗ (неверные признаки расчёта, отсутствие номенклатуры).
- Хранение «сырых» карточных данных или передачa PAN по e‑mail/мессенджерам.
- Отсутствие согласий и политики по 152‑ФЗ, не локализованы БД с ПДн граждан РФ.
- Слабые пароли и единые учётки для сотрудников, отсутствие 2FA в админке.
- Игнорирование антифрода: массовые повторные попытки, зарубежные прокси, множественные карты на один адрес.
- Неорганизованный процесс по чарджбекам — пропуск сроков и потери в арбитраже.
Последствия: возвраты и комиссии, блокировки мерчанта, требования о повышенной проверке, штрафы по административным статьям. Гораздо дешевле настроить процессы заранее.
Чек‑лист документов и политик
- Публичная оферта и политика конфиденциальности на сайте.
- Согласие на обработку ПДн и форма отзыва согласия.
- Договоры поручения обработки с банком/PSP и иными контрагентами.
- Политика ИБ, порядок доступа и учёта инцидентов.
- Регламент антифрода и порядок оспаривания чарджбеков.
- Инструкции кассиру (54‑ФЗ): признаки расчёта, возвраты, чек коррекции.
Как выбрать безопасный эквайринг для ООО
Оценивайте не только ставки, но и зрелость безопасности:
- наличие сертификата PCI DSS у провайдера, поддержка SAQ A/A‑EP;
- 3‑D Secure 2.0, токенизация, Apple/Google Pay;
- антифрод и мониторинг «из коробки» с настраиваемыми правилами;
- отложенная индексация/капча при риске, RBA;
- фискальный шлюз и готовые интеграции с ККТ под 54‑ФЗ;
- SLA по чарджбекам, аналитика причин отказов;
- понятная документация, SDK, примеры интеграции.
Если вам важны офлайн‑продажи по выходным или сезонные пики, сравните спецпредложения формата «выходной бесплатный эквайринг» и функционал POS. Для e‑commerce ориентируйтесь на удобство и конверсию интернет‑эквайринга.
Короткий итог
Безопасность эквайринга для ООО строится на трёх столпах: 54‑ФЗ (чеки и ККТ), 152‑ФЗ (персональные данные) и PCI DSS (карточные данные). Добавьте к ним антифрод и грамотную работу с чарджбеками — и вы снизите риски, повысите конверсию и доверие клиентов.
Готовы настроить эквайринг под ключ с соблюдением всех требований? Свяжитесь с нами — подберём банк, интеграцию и тарифы, поможем запустить безопасные платежи уже сегодня.