Хранится ли моя платежная информация на ваших серверах?

Полные номера кредитных карт, CVV-коды и банковские реквизиты никогда не попадают на наши серверы (Stripe). Они обрабатываются напрямую нашим платежным процессором, сертифицированным по стандарту PCI-DSS Level 1, что является наивысшим стандартом безопасности в индустрии кредитных карт. Мы храним только токенизированную ссылку (чтобы вы могли повторно использовать сохраненную карту, если вы дадите на это согласие) и последние четыре цифры вашего чека. Если наши системы будут взломаны, данные вашей карты будут недоступны, потому что у нас их нет.

Токенизация — это технический механизм, позволяющий сохранять данные карты без хранения самих данных карты. Когда вы решаете сохранить карту, платежный процессор возвращает токен — бессмысленную строку, представляющую карту в их системе, — и мы сохраняем этот токен вместо номера карты. В будущих транзакциях используется токен, процессор сверяет его с имеющимися у него данными карты, и платеж осуществляется. Токен бесполезен для всех, кто находится за пределами системы нашего платежного процессора; даже если бы вся наша база данных была украдена, токены нельзя было бы использовать для списания средств с карт где-либо еще.

Архитектурное решение хранить данные карт вне наших систем — это одна из причин, почему соответствие стандарту PCI имеет такое значение, а не является просто галочкой. Самый строгий уровень соответствия PCI-DSS — уровень 1 — применяется к процессорам, обрабатывающим более шести миллионов транзакций в год, и включает ежегодные проверки на месте, ежеквартальное сканирование сети и непрерывный мониторинг. Водители, обеспокоенные безопасностью платежей на онлайн-платформах, могут специально спросить любого поставщика, хранит ли он данные карт на своих собственных серверах; правильный ответ — «нет, мы используем токенизированный процессор, соответствующий стандарту PCI». Любой другой ответ свидетельствует о том, что у поставщика структурно более слабая система безопасности платежей.