Как соблюсти стандарт PCI DSS в интернет-магазине
Если вы принимаете оплату банковскими картами, необходимо учитывать требования стандарта PCI DSS. Ниже — что это такое и в каких случаях это действительно касается вашего магазина.
Что такое PCI DSS
Заголовок раздела «Что такое PCI DSS»PCI DSS (Payment Card Industry Data Security Standard) — международный стандарт безопасности данных платёжных карт.
Разработан международными платёжными системами (Visa, Mastercard, American Express и др.). Актуальная версия — PCI DSS 4.0.
Стандарт регулирует безопасность:
- хранения данных карт;
- обработки данных карт;
- передачи данных карт.
Если ваш сайт каким-либо образом «видит» данные карты — вы попадаете под требования PCI DSS.
Официальный сайт: https://www.pcisecuritystandards.org/
Когда требования PCI DSS касаются интернет-магазина
Заголовок раздела «Когда требования PCI DSS касаются интернет-магазина»Полное соответствие (сертификация) требуется
Заголовок раздела «Полное соответствие (сертификация) требуется»Если:
- данные банковских карт вводятся прямо на вашем сайте;
- ваш сервер обрабатывает или хранит данные карты;
- используется собственная форма оплаты без редиректа на платёжную страницу провайдера;
- применяется iframe/JS-интеграция, где данные проходят через ваш сервер.
В этом случае требуется прохождение аудита или заполнение соответствующего SAQ (Self-Assessment Questionnaire), в зависимости от уровня операций.
Полная сертификация обычно не требуется
Заголовок раздела «Полная сертификация обычно не требуется»Если:
- покупатель перенаправляется на страницу платёжной системы;
- используется hosted checkout (Stripe Checkout, ЮKassa, CloudPayments и др.);
- ваш сервер не получает и не хранит данные карты.
В этом случае ответственность за PCI DSS лежит на платёжном провайдере, а вам обычно достаточно заполнить упрощённый SAQ-A.
Что важно понимать в 2026 году
Заголовок раздела «Что важно понимать в 2026 году»- Почти все современные платёжные сервисы используют токенизацию.
- Рекомендуется не принимать данные карт напрямую.
- Самостоятельная обработка карт значительно повышает риски и затраты.
Для малого и среднего интернет-магазина оптимальный вариант — редирект или hosted payment page.
Последствия несоблюдения
Заголовок раздела «Последствия несоблюдения»Если магазин обязан соблюдать PCI DSS, но игнорирует требования:
- возможны штрафы от банка-эквайера;
- расторжение договора эквайринга;
- ответственность за утечку данных;
- блокировка приёма карт.
Размер санкций зависит от условий договора с банком и масштабов нарушения.
Как проходит соответствие
Заголовок раздела «Как проходит соответствие»Существует несколько уровней:
- SAQ (самостоятельное подтверждение соответствия);
- аудит через QSA (Qualified Security Assessor) — для крупных компаний.
Большинство интернет-магазинов не проходят полноценную «сертификацию», а заполняют соответствующий тип SAQ.
Плагины приёма платежей
Заголовок раздела «Плагины приёма платежей»Если используется:
- редирект на платёжную страницу провайдера;
- hosted checkout;
- внешняя платёжная форма —
требования PCI DSS минимальны.
Если данные карты вводятся прямо на странице вашего сайта и обрабатываются вашим сервером — требования становятся строгими.
В 2026 году лучший способ избежать сложной сертификации:
- не хранить данные карт;
- не обрабатывать их на своём сервере;
- использовать официальные модули платёжных систем;
- применять hosted payment page.
Если сайт не видит данные карты — риски и требования существенно ниже.