Безопасность платежей

1. Способы оплаты на сайте

Сервис «Wombat AI» принимает оплату исключительно в рублях Российской Федерации одним из следующих способов:

• Банковские карты платёжной системы «МИР», VISA и MasterCard, выпущенные российскими банками-эмитентами;
• Система быстрых платежей (СБП) — оплата по QR-коду или ссылке через приложение банка плательщика.

Иные способы оплаты (электронные кошельки, криптовалюта, переводы с лицевого счёта оператора связи) не поддерживаются.

2. Защита соединения

• Весь обмен данными между Вашим устройством и сайтом wombatai.app защищён шифрованием TLS 1.2/1.3. Используются современные шифры с поддержкой Perfect Forward Secrecy.
• SSL-сертификат сайта выпущен публичным удостоверяющим центром (Let's Encrypt R3 или эквивалент). Подлинность сертификата можно проверить в браузере, нажав на иконку замка рядом с адресной строкой.
• Платёжная форма банка-эквайера открывается также по защищённому соединению. Проверьте наличие иконки замка в адресной строке перед вводом данных карты.

3. Соответствие PCI DSS

Общество с ограниченной ответственностью «Олимп» не хранит реквизиты банковских карт Пользователей. При нажатии кнопки «Оплатить» Пользователь перенаправляется на защищённую платёжную страницу банка-эквайера, который прошёл сертификацию PCI DSS Level 1 — высший стандарт безопасности в индустрии платёжных карт.

• Номер карты, срок действия и CVC/CVV-код вводятся непосредственно на платёжной форме банка-эквайера.
• Эти данные не передаются на серверы Оператора и не хранятся ни в каком виде.
• В историю операций Оператора попадает только техническая часть платежа: идентификатор операции, сумма, дата, последние 4 цифры карты (для отображения Пользователю).

4. Подтверждение операции по 3D-Secure

Каждая операция оплаты картой дополнительно подтверждается одноразовым кодом по протоколу 3D-Secure 2.0 (МИР Accept, Verified by Visa, Mastercard SecureCode). Это означает:

• после ввода реквизитов карты банк-эмитент направляет одноразовый код Пользователю SMS или push-уведомлением в приложении банка;
• код вводится в форме подтверждения непосредственно на странице банка;
• операция исполняется только после успешного ввода кода.

Без подтверждения 3D-Secure операция не проводится. Это защищает Пользователя от несанкционированного использования карты третьими лицами даже при компрометации её реквизитов.

5. Защита от мошенничества

Сервис применяет следующие меры противодействия мошенническим операциям:

• Антифрод-фильтры банка-эквайера: автоматическая проверка геолокации, скорости операций, типичности поведения карты;
• Контроль повторных оплат: ограничение количества попыток оплаты с одной карты за короткий период;
• Защита от перебора: Cloudflare Bot Management, rate-limiting для платёжного эндпоинта;
• Соответствие 115-ФЗ: процедуры проверки источника происхождения средств для операций, отвечающих формальным признакам подозрительных.

6. Безопасность API-ключей

API-ключи, выпускаемые Пользователям тарифов Pro и Business, защищены следующим образом:

• сам ключ передаётся Пользователю один раз в момент выпуска — на серверах Оператора хранится только SHA-256-хеш;
• при использовании ключа в Запросе он сверяется с хешем; полный текст ключа не извлекается из базы;
• при подозрении на компрометацию (несвойственная гео-локация, аномальная нагрузка) Оператор уведомляет Пользователя и может временно заблокировать ключ;
• Пользователь вправе в любой момент отозвать ключ в Личном кабинете — отзыв действует мгновенно.

7. Рекомендации Пользователю

• Никогда не вводите реквизиты карты на сторонних сайтах, на которые Вас перенаправили по ссылке из мессенджера, email или социальной сети. Если сомневаетесь — закройте страницу и зайдите на сайт wombatai.app вручную через адресную строку браузера.
• Проверяйте адресную строку. Платёжная форма должна находиться на домене Вашего банка или банка-эквайера, не на стороннем домене.
• Подтверждайте операцию кодом 3D-Secure, который банк направит SMS или push-уведомлением. Не передавайте этот код никому, в том числе сотрудникам поддержки.
• Не сохраняйте пароль от Личного кабинета в общедоступных файлах, мессенджерах, заметках в браузере без защиты.
• API-ключ — это пароль. Не публикуйте его в открытом исходном коде, репозиториях, переписке, скриншотах. Используйте переменные окружения и менеджеры секретов.
• Включите двухфакторную аутентификацию в Личном кабинете, как только эта функция будет добавлена.

8. Что делать при подозрении на несанкционированную операцию

1. Немедленно заблокируйте карту через приложение или горячую линию банка-эмитента.
2. Свяжитесь с банком-эмитентом для оспаривания операции (chargeback).
3. Сообщите нам на support@kartavsem.store: укажите дату, сумму, последние 4 цифры карты, признаки несанкционированности. Мы предоставим все необходимые материалы Вам и банку.
4. Смените пароль от Личного кабинета и отзовите все активные API-ключи.
5. Подайте заявление в полицию — это обязательное условие для chargeback в большинстве банков.

9. Хранение и обработка платёжных данных

Оператор хранит следующие технические данные о платежах в соответствии с требованиями Налогового кодекса РФ и Федерального закона № 115-ФЗ:

• идентификатор операции в банке-эквайере;
• сумма, валюта, дата, время операции;
• последние 4 цифры карты (без полного номера, срока, CVC);
• email Пользователя;
• статус операции (success / declined / refunded).

Срок хранения — 5 (пять) лет с момента совершения операции (Налоговый кодекс РФ). Подробнее — в Политике конфиденциальности.

10. Реквизиты Исполнителя