Почему нельзя сохранять данные карты на сайтах для быстрой оплаты

от

«Многие считают, что фраза ‘сохраним карту для быстрых покупок’, это просто удобная опция, как закладка в браузере. Но под капотом это чаще всего игра в русскую рулетку с киберпреступниками, где ваши реквизиты, это приз, а уровень защиты сайта — спусковой крючок, качество которого вам неизвестно.»

Вы заказываете товар в очередном интернет-магазине и перед оплатой видите заманчивую галочку: «Сохранить карту для быстрых покупок». Один клик — и в следующий раз не нужно вводить шестнадцать цифр, срок действия и CVV. Кажется, это сделано для вашего удобства. Но на самом деле эта опция перекладывает риски хранения критически важных данных с платёжных систем и банков на площадку, которая зачастую к этому совершенно не готова.

Что на самом деле сохраняет сайт

Когда вы ставите галочку в чекбоксе, данные вашей карты уходят не в абстрактное «безопасное место». Они попадают в базу данных интернет-магазина, курьерского сервиса или стриминговой платформы. Чаще всего сохраняются номер карты (PAN), срок действия и иногда имя держателя. CVV-код сохранять по правилам платёжных систем запрещено, но это правило не всегда соблюдается технически.

Главная проблема в том, что теперь эти данные живут в двух местах: в защищённой инфраструктуре вашего банка или платёжной системы (например, Тинькофф, Сбер, «Мир») и в инфраструктуре продавца. И уровень защищённости второго хранилища, это лотерея, исход которой вы не можете проверить.

Слабое звено: как хранят данные продавцы

Крупные маркетплейсы и банки инвестируют миллионы в безопасность. У них есть выделенные команды Security Operations Center (SOC), системы обнаружения вторжений и строгие внутренние стандарты. Но большинство сайтов, это небольшие и средние бизнесы. Их ИБ-защита часто сводится к базовому SSL-сертификату на сайте и надежде на то, что «нас не взломают».

Такие сайты могут хранить данные карт самым примитивным способом:

  • В открытом виде (plain text): Абсолютно неприемлемый, но, увы, встречающийся метод. При взломе базы злоумышленники получают реквизиты мгновенно.
  • С помощью самописного шифрования: Разработчики могут написать свой алгоритм шифрования, который часто содержит уязвимости. Криптография — сложная область, и непрофессиональная реализация равносильна отсутствию защиты.
  • С соблюдением стандарта PCI DSS: Это единственный правильный путь. Стандарт безопасности индустрии платёжных карт предъявляет жёсткие требования к хранению, передаче и обработке данных. Но его полноценная реализация дорога и сложна для небольшой компании.

Цель для хакеров: почему базы с картами, это «золотая жила»

Базы данных с сохранёнными номерами карт — один из самых ходовых товаров на теневых форумах. В отличие от утекших паролей, которые можно сменить, номер и срок действия карты статичны до перевыпуска. Эти данные можно использовать разными способами:

  • Кардинг (carding): Покупка товаров или услуг в интернете, где не требуется 3-D Secure.
  • Создание клонов физических карт: Для снятия наличных в банкоматах с устаревшими системами защиты.
  • Продажа в виде «демов»: Хакеры выкладывают небольшую часть базы в открытый доступ как доказательство её работоспособности, а основную массу продают.

Атака на сайт с такой базой становится для злоумышленников экономически оправданной. Риски высоки, но и потенциальная прибыль огромна.

Легальные способы быстрой оплаты: что использовать вместо сохранения

Удобство не должно достигаться ценой безопасности. Существуют легальные и безопасные технологии, которые эмулируют функцию «быстрой оплаты», но не требуют от сайта хранить ваши реквизиты.

Токенизация карт

Это основной механизм, который используют крупные и ответственные игроки. При первом платеже данные карты отправляются напрямую в платёжный шлюз или эквайер (например, CloudPayments, ЮKassa). Тот, в ответ, возвращает на сайт не номер карты, а уникальный токен — случайную строку символов. Этот токен привязан к вашей карте в защищённой системе платёжного провайдера. Сайк сохраняет у себя только этот токен. Для повторного платежа он отправляет токен провайдеру, который на своей стороне «разворачивает» его в реальные данные карты и проводит списание. В случае утечки базы сайка злоумышленники получат лишь бесполезные наборы символов.

Платёжные системы кошельков (Apple Pay, Google Pay, Samsung Pay)

При оплате через эти системы сайк вообще не видит данных вашей карты. Он получает от устройства одноразовый токен (Device Account Number) или криптограмму. Этот токен также нельзя использовать повторно вне конкретной транзакции. Весь процесс проходит через безопасную среду (Secure Element) на вашем смартфоне.

Быстрые платежи по номеру телефона (СБП)

Система быстрых платежей ЦБ решает вопрос кардинально: для оплаты вам нужно только подтвердить списание в мобильном приложении своего банка. Реквизиты карты никуда не передаются. Это самый безопасный на сегодня метод для российского пользователя.

Как отличить безопасный сайт от опасного

Полностью гарантировать безопасность нельзя, но можно оценить риски. Задумайтесь, если сайт, предлагающий сохранить карту:

  • Не использует HTTPS (в адресной строке нет замка). Сегодня это признак откровенной халатности.
  • Предлагает сохранить CVV-код. Это прямое нарушение правил платёжных систем — явный красный флаг.
  • Принадлежит неизвестной компании без физических реквизитов, отзывов и истории.
  • Имеет подозрительный интерфейс платежной формы (перенаправляет на странные домены, запрашивает PIN-код).

Ответственные сайты часто пишут мелким шрифтом: «Ваши данные защищены по стандарту PCI DSS» или «Карта сохраняется в токенизированном виде». Отсутствие такой информации — не приговор, но повод для сомнений.

Что делать, если карта уже сохранена на десятках сайтов

Паниковать не стоит, но нужно действовать системно:

  1. Проведите ревизию. Зайдите в личные кабинеты сайтов, где вы часто покупаете. В разделах «Настройки», «Платёжные данные» или «Мои карты» найдите список сохранённых реквизитов и удалите их.
  2. Используйте виртуальные или одноразовые карты. Многие банки (Тинькофф, Альфа-Банк) позволяют выпускать виртуальные карты, привязанные к основной. Для каждого подозрительного сайта можно завести свою виртуальную карту с ограничением по сумме или сроку действия. При компрометации вы блокируете только её, а основная карта в безопасности.
  3. Включите уведомления о всех операциях в мобильном приложении банка. Так вы мгновенно узнаете о несанкционированном списании.
  4. В крайнем случае, если есть подозрения на утечку, закажите перевыпуск карты. Новый номер карты сделает все сохранённые где-либо старые реквизиты бесполезными.

Функция «сохранить карту», это компромисс, где вы обмениваете безопасность на несколько секунд времени. В мире, где утечки данных стали обыденностью, этот компромисс редко оправдан. Современные технологии вроде токенизации и СБП доказывают, что удобство и безопасность могут идти рука об руку. Выбирая способ оплаты, вы голосуете рублём не только за товар, но и за то, как та или иная компания относится к защите ваших данных. Голосуйте за тех, кто не перекладывает риски на вас.

Оставьте комментарий