1. Основные понятия

1.1. 3DSecure — технологии, разработанные международной ПС VISA International и MasterCard International, а также ПС МИР для обеспечения безопасного проведения платежей в Интернет. В рамках данной технологии личность Держателя удостоверяется на сервере Банка-эмитента способом, определяемым Банком-эмитентом Карты (обычно — ввод данных login/password).

1.2. CVC2 — Card verification code — это термин ПС MasterCard, трехзначный код для дополнительной проверки корректности указанных реквизитов Карты и повышения безопасности расчетов, напечатан на полосе для подписи и служит для проверки при проведении Операции оплаты без предъявления Карты/ручном вводе.

1.3. CVN2 — Card Validation Number — термин ПС UnionPay. Свойства по аналогии с термином CVC2 MasterCard.

1.4. CVV2 — Card verification value — термин ПС Visa. Свойства по аналогии с термином CVC2 MasterCard.

1.5. MSC — MasterCard SecureCode — стандарт безопасности ПС MasterCard, поддерживающий технологию 3DSecure.

1.6. MirAccept — стандарт безопасности ПС МИР, поддерживающий технологию 3DSecure.

1.7. SSL — Secure Sockets Layer (SSL) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создается защищенное соединение между Держателем и сервером. Использует шифрование с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надежность передачи данных за счет использования корректирующих кодов и безопасных хэш-функций.

1.8. Transport Layer Security (TLS) — криптографический протокол, обеспечивающий защищенную передачу данных между узлами в сети Интернет (Основан на SSL).

1.9. VbV–Verified by Visa — стандарт безопасности ПС Visa, поддерживающий технологию 3DSecure.

1.10. АПК Банка — аппаратно-программный комплекс банка или платёжной системы, осуществляющий следующие функции: подключение сайта к системе проведения онлайн-платежей; обеспечение интерфейса для запроса параметров карты, необходимых для проведения операции; обеспечение мониторинга на различных этапах проведения операций.

1.11. ППК2 — Проверочный параметр карты — термин ПС МИР. Свойства по аналогии с термином CVC2 MasterCard.

2. Порядок проведения платежей

2.1. Держатель банковской карты (далее — Держатель) через Интернет подключается к сайту, формирует покупку и передает ее на дальнейшую обработку администратору сайта (далее — Администратор).

2.2. Администратор обрабатывает данные для совершения покупки и переадресовывает Держателя на АПК Банка. При этом одновременно на АПК Банка передаются необходимые параметры, необходимые для проведения платёжных операций согласно техническим протоколам банка/платёжной системы.

2.3. Держатель передаёт Администратору информацию о том, что он желает осуществить покупку на сайте.

2.3.1. Администратор формирует счёт на оплату согласно правилам Администратора и имеющихся у него технических возможностей.

2.3.2 Держатель получает ссылку на платежную форму, в которой также содержится информация об оплачиваемом Товаре/Услуге, их стоимости, а также иные параметры оплаты.

2.4. Держатель в зависимости от выбранного способа оплаты передает на АПК Банка:

2.4.1. информацию о параметрах своей Карты: номер Карты, значения CVC2/CVV2/CVN2, дату окончания срока действия карты, имя и фамилия Держателя, как они написаны на карте, что одновременно является подтверждением согласия совершить платеж и прочие параметры, которые может запросить Банк.

2.4.2. Токен, формируемый устройством, с которого совершается оплата.

2.5. АПК банка проверяет корректность формата вводимых параметров карты Держателя и может осуществить дополнительные процедуры аутентификации покупателя, в зависимости от поддерживаемой схемы оплаты MSC или VbV. При оплате с использованием токена АПК Банка проверяет подлинность Токена, включая срок его действия.

2.6. При получении банком отрицательного результата проверок или аутентификации банк через АПК Банка отправляет уведомление об отказе в проведении операции, с указанием причин отказа.

2.7. При успешном прохождении всех процедур проверок запроса установленным нормативам и\или аутентификации, запрос из АПК Банка передается на авторизацию.

2.8. Банк проводит авторизацию в установленном соответствующими международными ПС порядке.

2.9. При получении банком отрицательного результата авторизации банк через АПК Банка отправляет уведомление об отказе, с указанием причин отказа.

2.10. При положительном результате авторизации банк через АПК Банка передает подтверждение положительного результата авторизации.

2.11. После получения подтверждения о положительном результате авторизации Администратор отпускает/оказывает Товар/ Услугу покупателю.

3. Защита информации

3.1. Администратор, провайдер онлайн-платежей вправе хранить информацию о держателях карты исключительно для целей обеспечения совершения операций, но не дольше, чем это необходимо для целей выполнения обязательств по договору.

3.2. Идентификационные номера Карт не хранятся Администратором (кроме случаев временного хранения до получения кода авторизации по соответствующей операции).

3.3. Администратор обязан соблюдать стандарт Payment Card Industry Data Security Standard (PCI DSS) и другие отраслевые стандарты защиты информации для обеспечения сохранности информации о держателях, а также обеспечивать соблюдение их поставщиками, агентами, представителями, подрядчиками и любым иным лицом, которым Администратор может предоставлять доступ к информации о держателях.
Администратор обязан соблюдать следующие стандарты:

3.3.1. Инсталляция и поддержание работоспособности защитных программ (firewalls), настраиваемых для обеспечения защиты информации о Держателях от несанкционированного доступа или использования.

3.3.2. Неиспользование паролей или иных настроек, устанавливаемых по умолчанию.

3.3.3. Защита информации о держателях путем ее хранения с использованием методов тройного программного шифрования данных (или такого иного стандарта, который может быть указан банком) и применением соответствующих мер, призванных обеспечивать безопасное хранение и конфиденциальность информации о держателях, находящейся в распоряжении Администратора или под контролем Администратора.

3.3.4. Шифрование информации о держателях, передаваемой по сети Интернет или иным сетям открытого доступа.

3.3.5. Использование и регулярное обновление антивирусного программного обеспечения или программ.

3.3.6. Разработка и поддержание работоспособности оборудования и систем обеспечения безопасности (например, для защиты от любых предполагаемых угроз или рисков безопасности, или целостности данных).

3.3.7. Ограничение доступа к информации о держателях кругом лиц, которым она необходима исключительно для выполнения их служебных обязанностей.

3.3.8. Присвоение уникального идентификатора каждому лицу, имеющему компьютерный доступ к информации о держателях.

3.3.9. Ограничение физического доступа к информации о держателях.

3.3.10. Регистрация и отслеживание всех случаев доступа к информации о держателях.

3.3.11. Регулярное тестирование безопасности оборудования, систем и процессов сертифицированным специалистом по защите информации.

3.3.12. Проведение политики информационной безопасности в отношении сотрудников и консультантов.

3.3.13. Организация программы повышения осведомленности сотрудников после приема их на работу и в процессе работы.