Собственный модуль приема платежей картами на сайте?

Question

[Сергей]

Написал модуль приема платежей банковскими картами для своего сайта. Что будет если я буду использовать данный скрипт без pci diss и т.д. Какие будут последствия? Платежи проходят через платежный шлюз банка и приходят мне на карту.

Answer 1

[boss_lexa]

при подключении к шлюзу чтобы слать данные карты через API у вас запросят соответствие PCI DSS - и если у вас его не будет, просто не подключат.

Если хотите форму ввода карты на своем сайте - самый простой путь подгружать поля для ввода номера и CVC карты с сайта платежной шлюза через iframe, тогда от вас нужен будет минимум. Согласно стандарту iframe и редирект равнозначно требуют одинаковых требований - заполнение листа SAQ A
пример docs.mandarinbank.com/api_v2.html#hostedpay

Comments

[Сергей]

Я работаю не через api

Answer 2

[Onnem]

Если на Вашей стороне идёт обработка и хранение данных, а так же платёжная страница для ввода данных карт, то минимально, что может прилететь это статья за мошенничество. Таким способом угоняются данные карт, для дальнейшего их обналичивания без ведома владельцев. Прилетит оно ровно после того, как по одной из карт будет несанкционированное списание и банк эмитент начнёт расследование.

Если на вашей стороне хранения и обработки нет, платёжная страница банка то забудьте, это не Ваши заботы.

Comments

[Сергей]

Данные карт не хранятся на моем сервере, а сразу отправляются в банк, и то форма оплаты доступна с личного кабинета и аккаунты я выдаю лично.

[Onnem]

Сергей, форму можно свою вешать, это брендинг, некоторые банки и агрегаторы это позволяют, а вот данные уже критичны, если всё на банке, то даже не забивайте голову, не Ваша забота.