Платежи давно перестали быть просто технической
операцией. Сегодня это часть клиентского опыта, элемент доверия к бренду и основа устойчивости бизнеса. Как ритейлу управлять платежной инфраструктурой, чтобы избежать рисков и не потерять деньги?
Платежи давно перестали быть просто технической операцией. Сегодня это часть клиентского опыта, элемент доверия к бренду и основа устойчивости бизнеса. Как ритейлу управлять платежной инфраструктурой, чтобы избежать рисков и не потерять деньги?
Платежи давно перестали быть просто технической операцией. Сегодня это важнейшая часть клиентского опыта, элемент доверия к бренду и основа устойчивости бизнеса. Любая компания, принимающая оплату онлайн или офлайн, автоматически становится частью глобальной платежной инфраструктуры. А значит — неизбежно сталкивается с вопросами безопасности, надежности процессов и комплаенса.
Об этих вызовах рассказывает Аркадий Прокудин, коммерческий директор международной консалтинговой группы Compliance Control & Rakasta, эксперт в сфере кибербезопасности.
Платеж есть почти у каждого бизнеса. Значит, есть и требования безопасности.
Платежная инфраструктура касается не только банков, финтеха и крупнейших маркетплейсов. Она есть у любой организации, которая зарабатывает деньги и принимает оплату: у крупного ритейлера, интернет-магазина, сервиса подписки или небольшого офлайн-бизнеса, где можно оплатить покупку по QR-коду.
Для клиента платеж выглядит просто: он прикладывает карту к терминалу, сканирует QR-код или нажимает кнопку «оплатить». Но внутри этого действия работает целая цепочка: банк, платежная организация, эквайринг, ритейлер или маркетплейс, ИТ-инфраструктура, системы обработки данных и иногда внешние подрядчики. Все они обмениваются платежными данными и зависят друг от друга.

Платежную инфраструктуру важно рассматривать как единую систему взаимосвязанных процессов, технологий и участников. Главный принцип прост: там, где есть платеж, есть данные, ответственность и доверие.
Ритейл и маркетплейсы уже давно перестали быть только площадками для продажи товаров. Крупные игроки рынка активно развивают собственные финансовые сервисы: выпускают карты, создают программы лояльности, предлагают рассрочки и кредиты, запускают платежные инструменты и даже строят полноценные банковские экосистемы. Некоторые компании идут еще дальше и получают собственные банковские лицензии или работают в тесной связке с банками-партнерами.
Когда клиент оплачивает покупку внутри экосистемы, использует фирменную карту, получает кешбэк или хранит средства на внутреннем счете, компания получает дополнительную возможность удерживать аудиторию и лучше понимать ее потребности. Финансовые сервисы помогают повышать лояльность клиентов, увеличивать частоту покупок и создавать новые источники дохода.
Но вместе с новыми возможностями появляются и новые обязательства. Чем глубже ритейл или маркетплейс интегрируется в финансовую инфраструктуру, тем выше требования к безопасности платежей, защите данных и устойчивости процессов. Если компания становится частью банковской экосистемы, она неизбежно сталкивается с требованиями банков, платежных систем, партнеров и регуляторов.

Ритейл концентрирует платежные и персональные данные, а значит, становится привлекательной целью для атак. Последствия затрагивают не только ИБ: это штрафы, сбои в платежах, потеря выручки и снижение доверия клиентов.
Именно поэтому вопросы аудита, соответствия стандартам и управления рисками сегодня становятся актуальными не только для банков и финтех-компаний, но и для крупных ритейлеров, маркетплейсов и цифровых платформ.
Ритейл уже конкурирует не только ценой, ассортиментом и скоростью доставки. Все чаще конкуренция смещается в платежный опыт: насколько быстро проходит транзакция, как устроен возврат, есть ли рассрочка, бонусы, собственная карта, внутренний счет, персональное предложение или возможность не выходить из привычной экосистемы.
Крупные игроки рынка развивают финтех-направления и банковские сервисы. У ритейла есть то, что особенно ценно для финансового бизнеса: большая клиентская база и понимание поведения покупателей. Компания видит, как часто клиент покупает, какие категории выбирает, как реагирует на скидки, какой способ оплаты предпочитает. На этой базе можно предлагать не только товары, но и финансовые продукты: рассрочки, кредиты, карты, страхование, подписки, бонусные программы.
Есть и экономическая причина. Проведение платежной операции стоит денег: комиссия может составлять около 2–3%. Для бизнеса с низкой маржинальностью даже несколько процентов имеют значение. Поэтому крупные ритейлеры и маркетплейсы стремятся удерживать часть платежной экономики внутри собственной инфраструктуры: через внутренние счета, карточные решения, платежные инструменты и сервисы лояльности.
Но причина сразу рождает следствие: чем больше финансовых функций берет на себя ритейл, тем выше требования к его инфраструктуре. Если компания работает с платежами, персональными данными, личными кабинетами, мобильными приложениями, программами лояльности и подрядчиками, она уже не может относиться к безопасности как к внутреннему техническому вопросу.
Да, если бизнес принимает платежи и работает с данными клиентов.
Аудит нужен не ради формального документа. Он помогает понять, насколько бизнес готов к требованиям банка, платежной системы, регулятора, партнера или инвестора. Это проверка не только «защищен ли платеж», но и выстроены ли процессы вокруг него: кто отвечает за данные, как они хранятся, кому передаются, как компания реагирует на инциденты, насколько устойчивы сайт, приложение, личный кабинет и внутренняя ИТ-среда.

PCI DSS помогает ритейлу подтвердить, что компания умеет безопасно работать с платежными данными. Для бизнеса это не только вопрос соответствия стандарту, но и условие стабильного приема платежей, доверия банков, партнеров и клиентов.
Для разных задач применяются разные стандарты и виды проверок:
PCI DSS — один из ключевых стандартов для компаний, которые работают с данными платежных карт. Он важен для ритейла, маркетплейсов, платежных сервисов и других участников эквайринговой цепочки. Если бизнес принимает карточные платежи и имеет значимый объем операций, подтверждение соответствия PCI DSS обычно требуется регулярно, как правило, раз в год.
ISO 27001 — стандарт, который подтверждает, что в компании выстроена система управления информационной безопасностью. Это уже не только про «установить защитное решение», а про процессы: управление доступами, смену паролей, мониторинг, реагирование на инциденты, распределение ответственности, регламенты и контроль.
SWIFT CSP актуален для финансовых организаций и участников инфраструктуры, связанных с межбанковскими переводами и финансовыми сообщениями. В таких сценариях проверка может иметь свою периодичность и отдельные требования к защите среды.
152-ФЗ и требования к персональным данным важны для любого бизнеса, который собирает, хранит, использует или передает данные клиентов. Для ритейла это особенно чувствительная зона: личные кабинеты, бонусные программы, рассылки, аналитика, мотивационные механики и внешние подрядчики часто работают с персональными данными.
ГОСТ Р 57580, требования Банка России и нормы по операционной надежности становятся важными там, где ритейл или финтех-сервис сближается с финансовой инфраструктурой, работает с банками, платежными сервисами, критичными процессами и высокими требованиями к устойчивости.
Анализ уязвимостей, пентесты и Secure SDLC нужны компаниям, у которых есть сайт, мобильное приложение, личный кабинет, платформа, API или собственная разработка. Пентесты помогают выявить слабые места до того, как ими воспользуется злоумышленник. Secure SDLC позволяет встроить проверки безопасности в цикл разработки, чтобы продукт выходил на рынок не «голым», а с закрытыми критичными рисками.
Читайте также: Не аудит, а учебная тревога: как проверить компанию на прочность в условиях «кибервойны»
Риск не всегда приходит напрямую от регулятора. В платежной инфраструктуре часто первым реагирует банк.
Банк отвечает за своих контрагентов и должен понимать, с кем он работает. Если бизнес проводит большой объем транзакций, но не подтверждает соответствие требованиям, не проходит аудит и не управляет рисками, вопросы сначала возникнут к банку. А банк, в свою очередь, может потребовать от бизнеса срочно привести процессы в порядок или прекратить взаимодействие.
Для ритейла это уже не абстрактная «регуляторная история», а конкретный бизнес-риск. Последствия могут быть разными: требование срочно пройти проверку, ограничение со стороны банка, сложности с эквайрингом, проблемы с платежными каналами, невозможность масштабировать сервис, вопросы со стороны партнеров, репутационные потери, а в худшем случае отключение от части платежной инфраструктуры.

@Freepik (лицензия INV-C-2024-8250540)
Есть и другая линия риска — персональные данные и ИТ-экосистема. Если компания собирает данные клиентов, передает их подрядчикам, использует программу лояльности или мобильное приложение, у нее возникает ответственность за обработку и защиту этих данных. Здесь последствия могут быть связаны уже не только с банком, но и с регуляторными требованиями, предписаниями, инцидентами и потерей доверия клиентов.
Начинать нужно не тогда, когда проверка уже назначена, а раньше. Самый правильный сценарий — предварительная оценка: компания смотрит, какие платежи принимает, какие данные обрабатывает, какие системы участвуют в клиентском пути, какие подрядчики подключены и какие требования уже применимы.
Сроки зависят от масштаба бизнеса и зрелости процессов. Для компании с понятной архитектурой и уже выстроенной ИБ подготовка может быть относительно быстрой: нужно подтвердить соответствие, закрыть отдельные замечания и оформить документы. Для бизнеса, который быстро рос, запускал новые платежные сценарии, приложение, личный кабинет, бонусную программу и не систематизировал требования, подготовка может занять больше времени, потому что придется сначала навести порядок в процессах.
Периодичность тоже зависит от стандарта. Для PCI DSS подтверждение обычно проводится ежегодно. Для направлений, связанных с межбанковской инфраструктурой, например SWIFT CSP, могут действовать свои циклы проверки. Для ISO 27001 важна не разовая «бумага», а поддержание системы управления информационной безопасностью. В любом случае аудит лучше воспринимать не как одноразовое событие, а как часть нормального управления платежной и цифровой инфраструктурой.
Есть простой вопрос, который бизнесу стоит задать себе: если завтра банк, партнер или крупный клиент попросит подтвердить надежность платежной инфраструктуры, вы сможете это сделать?
Если компания принимает оплату онлайн или офлайн, работает с эквайрингом, использует сайт, приложение, личный кабинет или программу лояльности, хранит и передает персональные данные, подключает подрядчиков к клиентским данным, запускает собственные карты, счета, рассрочки или бонусные механики, выходит в новые регионы или растет по объему транзакций, аудит уже становится не дополнительной опцией, а инструментом управления рисками.
Главный вывод прост: если в бизнесе есть платеж, есть и зона ответственности. Вопрос не в том, находится ли компания во Вселенной безопасных платежей. Она уже в ней. Вопрос в том, управляет ли она этой зоной осознанно или ждет момента, когда требования придут извне — от банка, партнера, регулятора или самого рынка.
Аркадий Прокудин, коммерческий директор международной консалтинговой группы Compliance Control & Rakasta.
Для NEW RETAIL