Открыть сервис

Защищённая электронная коммерция

Защищённая электронная коммерция — это совокупность организационных, технических и правовых мер, а также программно-аппаратных средств, обеспечивающих безопасность транзакций, конфиденциальность данных участников и целостность информации при совершении сделок купли-продажи товаров, работ или услуг через интернет. В отличие от обычной электронной коммерции, защищённая версия предполагает внедрение криптографических протоколов, систем аутентификации, механизмов управления рисками и соблюдение нормативных требований (например, стандартов PCI DSS, 152-ФЗ «О персональных данных» в РФ).

Основные угрозы и риски

Электронная коммерция подвержена широкому спектру атак, направленных на кражу данных, финансовых средств или нарушение доступности сервисов.

Финансовое мошенничество

  • Фрод с платёжными картами — использование украденных реквизитов карт (номер, срок действия, CVV/CVC) для совершения покупок.
  • Chargeback-мошенничество — оспаривание клиентом законной транзакции после получения товара с целью возврата денег.
  • Фишинг — создание поддельных сайтов, имитирующих легитимные интернет-магазины или платёжные шлюзы, для сбора логинов, паролей и данных карт.

Атаки на инфраструктуру

  • SQL-инъекции — внедрение вредоносного SQL-кода в поля ввода (например, в форму поиска или авторизации) для получения доступа к базе данных с заказами и платёжными данными.
  • XSS (межсайтовый скриптинг) — внедрение вредоносного JavaScript-кода на страницу магазина, позволяющего перехватывать куки-файлы сессий или перенаправлять пользователей на фишинговые сайты.
  • DDoS-атаки — перегрузка серверов магазина большим количеством запросов, приводящая к отказу в обслуживании и потере продаж.

Утечки персональных данных

Согласно российскому законодательству (152-ФЗ), операторы электронной коммерции обязаны защищать персональные данные клиентов (ФИО, адреса, номера телефонов, платёжные реквизиты). Утечка таких данных грозит не только репутационными потерями, но и административными штрафами (до 18 миллионов рублей по ст. 13.11 КоАП РФ) и уголовной ответственностью (ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»).

Методы и технологии защиты

Криптографическая защита

  • Протокол HTTPS (TLS/SSL) — шифрование канала связи между браузером пользователя и сервером магазина. Обязателен для всех страниц, где вводятся платёжные данные. Сертификаты TLS выпускаются удостоверяющими центрами (например, Let’s Encrypt, GlobalSign).
  • Шифрование данных в покое — хранение платёжных реквизитов в зашифрованном виде (например, с использованием AES-256) в базе данных. Ключи шифрования хранятся отдельно от данных.
  • Токенизация — замена реальных данных карты (PAN) на уникальный токен, который не имеет ценности для злоумышленников. Токен используется для повторных транзакций без хранения реквизитов на сервере магазина.

Аутентификация и управление доступом

  • Двухфакторная аутентификация (2FA) — дополнительная проверка через SMS, push-уведомления или TOTP-коды (например, Google Authenticator) при входе в личный кабинет или совершении крупных покупок.
  • 3-D Secure (версии 1.0 и 2.0) — протокол аутентификации держателя карты, разработанный Visa и Mastercard. Версия 2.0 (EMV 3-D Secure) анализирует поведенческие факторы (IP-адрес, устройство, историю покупок) и может пропускать транзакции без ввода одноразового пароля, снижая количество ложных срабатываний.
  • CAPTCHA — автоматический тест для отсеивания ботов (например, при регистрации или оформлении заказа).

Мониторинг и антифрод-системы

  • Правила скоринга — автоматическая оценка риска каждой транзакции по множеству параметров: геолокация, частота заказов, сумма, тип товара. При превышении порога риска заказ помечается на ручную проверку или блокируется.
  • Машинное обучение — модели, обучающиеся на исторических данных о мошеннических транзакциях, выявляют аномалии в реальном времени.
  • Чёрные и белые списки — базы IP-адресов, email-адресов, номеров карт и устройств, ранее замеченных в мошенничестве.

Защита веб-приложений

  • WAF (Web Application Firewall)межсетевой экран уровня приложений, фильтрующий HTTP-запросы и блокирующий известные атаки (SQL-инъекции, XSS, CSRF).
  • Регулярные обновления CMS и плагинов — устранение уязвимостей в системах управления контентом (например, WordPress, 1С-Битрикс, OpenCart).
  • Безопасное кодирование — использование подготовленных (prepared) SQL-запросов, экранирование вывода данных, проверка вводимых значений на стороне сервера.

Нормативное регулирование в России

Законодательство

  • Федеральный закон № 152-ФЗ «О персональных данных» (2006 г.) — устанавливает требования к сбору, обработке и хранению персональных данных граждан РФ. Обязательна локализация баз данных на территории РФ.
  • Федеральный закон № 63-ФЗ «Об электронной подписи» (2011 г.) — определяет правовой статус простой, усиленной неквалифицированной и усиленной квалифицированной электронной подписи, используемой для подписания договоров в электронной коммерции.
  • Федеральный закон № 161-ФЗ «О национальной платёжной системе» (2011 г.) — регулирует деятельность операторов по переводу денежных средств, включая электронные деньги (Яндекс.Деньги, QIWI, WebMoney).

Стандарты безопасности

  • PCI DSS (Payment Card Industry Data Security Standard) — международный стандарт, обязательный для всех организаций, обрабатывающих данные банковских карт. Включает 12 требований, разделённых на 6 групп: построение защищённой сети, защита данных карт, управление уязвимостями, контроль доступа, мониторинг сетей и политика безопасности.
  • ГОСТ Р 57580.1-2017 — российский национальный стандарт по безопасности финансовых (банковских) операций, рекомендованный Банком России для участников финансового рынка.

Примеры реализации защищённой электронной коммерции

Крупные российские платформы

  • Ozon — использует собственный антифрод-движок, анализирующий более 100 параметров по каждой транзакции. Платёжные данные хранятся в токенизированном виде. Сайт работает по протоколу HTTPS с сертификатами TLS.
  • Wildberries — внедрил обязательную двухфакторную аутентификацию для продавцов и покупателей при входе в личный кабинет. Использует 3-D Secure 2.0 для всех карточных транзакций.
  • Яндекс.Маркет — интегрирован с платёжным сервисом Яндекс.Касса, который обеспечивает шифрование данных карт на стороне платёжного шлюза (P2PE — Point-to-Point Encryption).

Платёжные агрегаторы

  • ЮKassa — сертифицирован по PCI DSS Level 1 (высший уровень). Предоставляет магазинам готовые платёжные формы с защищённым вводом данных карт (iframe-виджет, не передающий данные на сервер магазина).
  • Сбербанк (СберПэй) — использует технологию NFC и биометрическую аутентификацию (отпечаток пальца, Face ID) для подтверждения платежей в мобильных приложениях.

Критика и ограничения

Несмотря на развитие технологий, защищённая электронная коммерция сталкивается с рядом проблем:

  • Ложные срабатывания антифрод-систем — до 10–15 % легитимных транзакций могут быть ошибочно заблокированы, что приводит к потере клиентов.
  • Сложность внедрения для малого бизнеса — сертификация PCI DSS и установка WAF требуют финансовых затрат, недоступных для микропредприятий.
  • Человеческий фактор — сотрудники магазинов могут становиться жертвами социальной инженерии (например, фишинговых писем с просьбой сбросить пароль), что сводит на нет техническую защиту.
  • Регуляторные издержки — требования 152-ФЗ о локализации данных и обязательном уведомлении Роскомнадзора об утечках увеличивают административную нагрузку на компании.

Перспективы развития

Основные направления совершенствования защищённой электронной коммерции включают:

  • Биометрическая аутентификация — использование голоса, лица или отпечатков пальцев для подтверждения платежей без ввода паролей.
  • Квантово-устойчивая криптография — разработка алгоритмов, устойчивых к атакам с использованием квантовых компьютеров.
  • Децентрализованные идентификаторы (DID) — технология, позволяющая пользователям контролировать свои персональные данные без передачи их магазину (на основе блокчейна).
  • Искусственный интеллект для предиктивной безопасности — модели, предсказывающие новые типы атак до их массового распространения.

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платёжной системе».
  • Стандарт PCI DSS v4.0 (Payment Card Industry Security Standards Council).
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций».
  • Отчёты Positive Technologies «Угрозы безопасности электронной коммерции» (2022–2024).
  • Материалы Банка России «Рекомендации по обеспечению безопасности платёжных сервисов в сети Интернет» (2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →