Безопасность платежей в мобильном приложении: СБП, MIR Pay | FITTIN
+7 (800) 444-11-27
Позвоните — обсудим ваш проект
Сергей CCO FITTIN
Сергей CCO FITTIN
Напишите мне в Telegram
Обсудить проект
Безопасность платежей в мобильном приложении интернет-магазина: СБП, Apple Pay и MIR Pay, токенизация и 3-D Secure

Безопасность платежей в мобильном приложении: СБП, Apple Pay, MIR Pay

Как устроена безопасность оплаты в приложении интернет-магазина и что приложению хранить нельзя.



В мобильном приложении интернет-магазина платёж проходит через несколько звеньев — само приложение, платёжного провайдера и банк покупателя. От того, как устроена эта цепочка, зависит, защищены ли данные карты. Разберём три способа оплаты — СБП, MIR Pay и Apple Pay — их модель безопасности и то, что приложению магазина хранить у себя нельзя.

Из чего складывается безопасность платежа

Безопасность оплаты в приложении держится на нескольких мерах, которые работают вместе. Главный принцип простой: чем меньше карточных данных проходит через приложение и магазин, тем меньше что красть.

МераКак защищает
ТокенизацияВместо номера карты используется одноразовый токен — даже при перехвате воспользоваться им нельзя
Оплата через провайдераВвод карты идёт в защищённом окне провайдера с сертификацией PCI DSS (международный стандарт защиты данных банковских карт), а не в коде магазина
3-D SecureБанк подтверждает операцию кодом, входом или биометрией — защита от оплаты украденной картой
Шифрование каналаДанные в пути идут по защищённому соединению (TLS/HTTPS)
Биометрия и блокировкаВ платёжных кошельках оплату подтверждают отпечатком, лицом или разблокировкой смартфона
Главное правило. Приложение и магазин не хранят номер карты и CVV — все остальные меры выстраиваются вокруг этого.

Дальше разберём три способа оплаты и увидим, что все они построены вокруг этого правила. О составе мобильного продукта для торговли в целом — в материале про функции мобильного приложения интернет-магазина.

СБП: оплата без передачи данных карты магазину

Способ 1. Где проходит платёж — внутри банковского приложения покупателя

Как устроено: СБП — это Система быстрых платежей Банка России и НСПК (Национальная система платёжных карт). Покупатель подтверждает оплату в своём банковском приложении — по QR-коду, кнопке или ссылке, — а магазин не получает реквизитов карты вообще.

В приложении магазина это выглядит так: на экране оплаты покупатель выбирает СБП, переходит в своё банковское приложение, подтверждает перевод и возвращается обратно. Платёж идёт по счёту, а не по карте, поэтому магазину нечего хранить из карточных данных.

Что отвечает за безопасность

  • Реквизиты карты не передаются продавцу — оплата идёт по банковскому счёту.
  • Авторизация платежа проходит внутри банка покупателя.
  • Операции идут по зашифрованным каналам на уровне Банка России, НСПК и банков-участников.
  • Покупателю не нужно ставить отдельное приложение — достаточно банка, который уже поддерживает СБП.

Дополнительный плюс для магазина — комиссия по СБП ниже классического эквайринга, поэтому метод выгоден и по безопасности, и по стоимости приёма платежей.

Оплата через СБП в приложении интернет-магазина: покупатель подтверждает перевод в своём банковском приложении

MIR Pay: бесконтактная оплата картой «Мир»

Способ 2. Где проходит платёж — через токен на Android-устройстве

Как устроено: MIR Pay — сервис НСПК для бесконтактной оплаты картами «Мир» на Android через NFC. Вместо номера карты на устройстве хранится токен, и реквизиты не передаются ни продавцу, ни терминалу.

MIR Pay работает на смартфонах с Android 7.0 и выше с модулем NFC; на устройствах с root-доступом и на iPhone он недоступен. Каждая оплата подтверждается разблокировкой смартфона или биометрией — это аналог ввода ПИН-кода карты. Банки поддерживают оплату MIR Pay и в интернет-магазинах, а не только в офлайн-точках.

Что отвечает за безопасность

  • Токенизация: номер карты заменяется токеном и не хранится у магазина.
  • Подтверждение каждой оплаты биометрией или разблокировкой устройства.
  • Реквизиты не передаются продавцу и терминалу.
  • Для карт «Мир» MIR Pay заменяет недоступные в России Apple Pay и Google Pay.

Прикинуть срок и бюджет приложения интернет-магазина с подключённой оплатой можно на калькуляторе стоимости разработки.

Apple Pay: модель безопасности и статус в России

Способ 3. Где проходит платёж — через токен в Secure Element на iPhone

Как устроено: Apple Pay построен на токенизации: номер карты хранится не на устройстве, а заменяется токеном в защищённой области (Secure Element), и каждая оплата подтверждается через Face ID или Touch ID. Модель безопасности Apple Pay считается эталонной для бесконтактных платежей.

Но для покупателей в России есть важная оговорка. Apple прекратила поддержку карт «Мир» в Apple Pay ещё в 2024 году, а в 2026 остановила платёжные операции в России полностью — даже зарубежные карты в сервис больше не добавляются. Поэтому в российском интернет-магазине Apple Pay сейчас не работает как способ оплаты.

Что это значит для магазина

  • Закладывать Apple Pay как рабочий способ оплаты для покупателей в России не стоит.
  • На Android его роль выполняет MIR Pay, а владельцы iPhone в России платят картой или через СБП.
  • Сам принцип — токенизация и подтверждение биометрией — остаётся ориентиром для безопасной оплаты.

Сравнение способов оплаты для интернет-магазина

Способы различаются тем, где проходит платёж, какие данные видит магазин и на каких устройствах работают. Сведём их вместе:

СпособКак платит покупательДанные карты магазинуСтатус в России
СБПВ своём банковском приложении по QR, кнопке или ссылкеНе передаются (оплата по счёту)Работает, основной способ
MIR PayБесконтактно по NFC или в приложении, картой «Мир»Не передаются (токен)Работает на Android
Apple PayБесконтактно или в приложении, токеномНе передаются (токен)Недоступен в России
Карта через эквайрингВвод данных в защищённом окне провайдераНе хранятся в магазине (токенизация)Работает

Важно понимать: ни один способ не даёт абсолютной защиты — безопасность даёт их сочетание и соблюдение правил со стороны магазина. Зато все способы объединяет одно: при правильной интеграции приложение магазина не хранит реквизиты карты.

Сравнение СБП, MIR Pay и Apple Pay по безопасности оплаты в приложении интернет-магазина

Чек-лист безопасной оплаты в приложении

Со стороны магазина безопасность оплаты — это набор понятных мер. Что проверить перед запуском:

МераЧто даёт
Не хранить номер карты и CVV в приложении и базеСнимает основную часть требований PCI DSS и убирает главную цель для кражи
Принимать оплату через сертифицированного провайдераВвод карты идёт в защищённом окне провайдера, а не в коде магазина
Включить 3-D Secure для карточных платежейСнижает риск оплаты украденной картой
Добавить СБП и MIR PayОплата без передачи реквизитов карты магазину
Шифровать соединение (TLS/HTTPS)Защищает данные в пути
Оформить согласие на обработку персональных данныхСоответствие требованиям 152-ФЗ, как и на сайте магазина

Эти меры закрывают основные риски, но безопасность стоит проверять и в коде. Перед релизом или при сомнениях в чужом приложении помогает аудит кода, а для работающего продукта — аудит мобильного приложения от 7 дней.

Чек-лист безопасной оплаты в приложении интернет-магазина: токенизация, платёжный провайдер, 3-D Secure, СБП и MIR Pay

Сколько стоит подключить безопасную оплату

Если приложение разрабатывается на модульной платформе, приём оплаты — эквайринг, СБП и платёжные кошельки — входит в готовый модуль платёжной интеграции. Отдельно настраивать безопасность не приходится: токенизация, переход в окно провайдера и 3-D Secure встроены в этот модуль, а комиссию за приём платежей назначает банк или платёжный провайдер.

На платформе FITTIN модель складывается из трёх частей: единоразовая интеграция готовых модулей под бренд, ежемесячные лицензионные платежи с включённой технической поддержкой команды и доработки нового функционала по Time & Materials со сметой и оценкой по часам перед стартом задачи. Уникальные платёжные сценарии относятся к третьей части. Актуальные цифры по интеграции и лицензии — на странице тарифов.

Зафиксировать способы оплаты и интеграции до старта поможет разработка технического задания.

Кейсы и практика

Как приём оплаты выглядит в готовых приложениях интернет-магазинов на платформе — несколько проектов с оформлением заказа, оплатой и программой лояльности.

Заказ и доставка продуктов с интеграцией 1С. Европа маркет — приложение сети гипермаркетов для заказа и доставки продуктов на Flutter с интеграцией товарного учёта 1С: оформление заказа с доставкой на дом или в офис и карта лояльности со скидками. Для канала доставки, где заказ оплачивают на ходу, безопасный приём оплаты особенно важен.

+5% к показателям мобильного канала. Пан Чемодан — приложение сети магазинов сумок и чемоданов на Flutter с кастомным дизайном: каталог, карточка товара, корзина, оформление заказа, пункты самовывоза и программа лояльности; сеть представлена в 40 городах. После запуска приложения прирост показателей мобильного канала составил 5%.

Другие проекты интернет-магазинов — в разделе кейсов. Если приложение делал другой подрядчик, проверить и доработать приём оплаты можно через техническую поддержку.

Приём оплаты в приложениях интернет-магазинов на платформе FITTIN: оформление заказа и оплата в кейсах Европа маркет и Пан Чемодан

Итог: безопасность платежей на одной странице

Безопасная оплата в приложении магазина держится на одном правиле и нескольких мерах вокруг него. Коротко:

  • Главное правило. Приложение и магазин не хранят номер карты и CVV.
  • СБП. Оплата в банковском приложении покупателя, реквизиты карты магазину не передаются.
  • MIR Pay. Бесконтактная оплата картой «Мир» на Android с токенизацией и биометрией.
  • Apple Pay. Эталонная модель безопасности, но в России сейчас недоступен — его роль выполняет MIR Pay.
  • Меры магазина. Провайдер с PCI DSS, 3-D Secure, шифрование, согласие на обработку данных.

Оптимальный путь для интернет-магазина — подключать оплату через готовый платёжный модуль, где токенизация, переход в окно провайдера и СБП уже встроены, а реквизиты карты не оседают в приложении. Посмотреть, как устроены приложения интернет-магазинов с каталогом, оплатой и лояльностью, можно в разделе мобильных приложений для интернет-магазинов или в комплексной разработке e-commerce.

Что делать дальше: рассчитать срок и бюджет на калькуляторе стоимости, посмотреть приложение для интернет-магазина на платформе или сразу обсудить проект с командой.

Безопасность платежей в приложении интернет-магазина на одной странице: СБП, MIR Pay, Apple Pay и меры защиты

Часто задаваемые вопросы

Что делает оплату в мобильном приложении безопасной?

Безопасность складывается из нескольких мер: токенизации (вместо номера карты используется одноразовый токен), приёма оплаты через сертифицированного по PCI DSS провайдера, подтверждения операции через 3-D Secure, шифрования канала по TLS и биометрии в платёжных кошельках. Ключевой принцип — приложение и магазин не хранят номер карты и CVV. Ни один отдельный способ не даёт абсолютной защиты, безопасность даёт сумма мер.

Передаются ли данные карты магазину при оплате через СБП?

Нет. При оплате через СБП покупатель подтверждает перевод в своём банковском приложении — по QR-коду, кнопке или ссылке. Реквизиты карты магазину не передаются вообще: платёж идёт по счёту, а авторизация проходит внутри банка клиента по зашифрованному каналу. Поэтому приложению магазина нечего хранить из карточных данных, а комиссия по СБП ниже классического эквайринга.

Как работает безопасность MIR Pay?

MIR Pay — сервис НСПК (Национальная система платёжных карт) для бесконтактной оплаты картами «Мир» на Android через NFC. Он использует токенизацию: вместо номера карты на устройстве хранится токен, а реквизиты не передаются продавцу. Каждая оплата подтверждается разблокировкой смартфона или биометрией — это аналог ввода ПИН-кода. MIR Pay работает на Android 7.0 и выше с NFC и заменяет для карт «Мир» недоступные в России Apple Pay и Google Pay.

Работает ли Apple Pay в России в 2026 году?

Нет. Apple прекратила поддержку карт «Мир» в Apple Pay ещё в 2024 году, а в 2026 остановила платёжные операции в России полностью — даже зарубежные карты в сервис больше не добавляются. Модель безопасности Apple Pay (токенизация и подтверждение по Face ID или Touch ID) остаётся эталонной, но для покупателей в России сервис недоступен. На Android его роль выполняет MIR Pay, а владельцы iPhone в России платят картой или через СБП.

Можно ли хранить номер карты покупателя в приложении магазина?

Хранить номер карты и CVV в приложении или базе магазина нельзя, если инфраструктура не сертифицирована по PCI DSS (международный стандарт защиты данных банковских карт) — а сертификация трудоёмка и для большинства магазинов избыточна. Правильный подход — отдать ввод карты платёжному провайдеру: данные вводятся в его защищённом окне и заменяются токеном, по которому потом проходят повторные оплаты. Так магазин не хранит карточные данные и снимает с себя основную часть требований PCI DSS.

Что такое 3-D Secure и зачем он нужен?

3-D Secure — это дополнительное подтверждение операции по карте: банк просит код из сообщения, вход в приложение банка или биометрию. Он снижает риск оплаты украденной картой, потому что для платежа недостаточно знать только её номер. Для карточных платежей в приложении 3-D Secure включают на стороне платёжного провайдера, и для интернет-магазина это базовая мера защиты от мошеннических операций.

Сколько стоит подключить безопасную оплату в приложении?

Если приложение разрабатывается на модульной платформе, приём оплаты — эквайринг, СБП и платёжные кошельки — входит в готовый модуль платёжной интеграции, а комиссию назначает банк или платёжный провайдер. На платформе FITTIN модель складывается из единоразовой интеграции под бренд, ежемесячной лицензии с поддержкой и доработок по Time & Materials. Уникальные платёжные сценарии добавляются как доработки. Разработка похожего решения с нуля по рынку начинается от 5–10 млн ₽.

Материал носит информационно-аналитический характер, отражает оценку команды FITTIN на дату публикации.

Источники: СБП (НСПК), MIR Pay (НСПК), Apple Pay, Банк России.

ДАВАЙТЕ ОБСУДИМ
ВАШ ПРОЕКТ

Разработка мобильного приложения на модульной платформе в команде FITTIN