Безопасность платежей в мобильном приложении: СБП, Apple Pay, MIR Pay
Как устроена безопасность оплаты в приложении интернет-магазина и что приложению хранить нельзя.
В мобильном приложении интернет-магазина платёж проходит через несколько звеньев — само приложение, платёжного провайдера и банк покупателя. От того, как устроена эта цепочка, зависит, защищены ли данные карты. Разберём три способа оплаты — СБП, MIR Pay и Apple Pay — их модель безопасности и то, что приложению магазина хранить у себя нельзя.
Из чего складывается безопасность платежа
Безопасность оплаты в приложении держится на нескольких мерах, которые работают вместе. Главный принцип простой: чем меньше карточных данных проходит через приложение и магазин, тем меньше что красть.
| Мера | Как защищает |
|---|---|
| Токенизация | Вместо номера карты используется одноразовый токен — даже при перехвате воспользоваться им нельзя |
| Оплата через провайдера | Ввод карты идёт в защищённом окне провайдера с сертификацией PCI DSS (международный стандарт защиты данных банковских карт), а не в коде магазина |
| 3-D Secure | Банк подтверждает операцию кодом, входом или биометрией — защита от оплаты украденной картой |
| Шифрование канала | Данные в пути идут по защищённому соединению (TLS/HTTPS) |
| Биометрия и блокировка | В платёжных кошельках оплату подтверждают отпечатком, лицом или разблокировкой смартфона |
Дальше разберём три способа оплаты и увидим, что все они построены вокруг этого правила. О составе мобильного продукта для торговли в целом — в материале про функции мобильного приложения интернет-магазина.
СБП: оплата без передачи данных карты магазину
Способ 1. Где проходит платёж — внутри банковского приложения покупателя
Как устроено: СБП — это Система быстрых платежей Банка России и НСПК (Национальная система платёжных карт). Покупатель подтверждает оплату в своём банковском приложении — по QR-коду, кнопке или ссылке, — а магазин не получает реквизитов карты вообще.
В приложении магазина это выглядит так: на экране оплаты покупатель выбирает СБП, переходит в своё банковское приложение, подтверждает перевод и возвращается обратно. Платёж идёт по счёту, а не по карте, поэтому магазину нечего хранить из карточных данных.
Что отвечает за безопасность
- Реквизиты карты не передаются продавцу — оплата идёт по банковскому счёту.
- Авторизация платежа проходит внутри банка покупателя.
- Операции идут по зашифрованным каналам на уровне Банка России, НСПК и банков-участников.
- Покупателю не нужно ставить отдельное приложение — достаточно банка, который уже поддерживает СБП.
Дополнительный плюс для магазина — комиссия по СБП ниже классического эквайринга, поэтому метод выгоден и по безопасности, и по стоимости приёма платежей.
MIR Pay: бесконтактная оплата картой «Мир»
Способ 2. Где проходит платёж — через токен на Android-устройстве
Как устроено: MIR Pay — сервис НСПК для бесконтактной оплаты картами «Мир» на Android через NFC. Вместо номера карты на устройстве хранится токен, и реквизиты не передаются ни продавцу, ни терминалу.
MIR Pay работает на смартфонах с Android 7.0 и выше с модулем NFC; на устройствах с root-доступом и на iPhone он недоступен. Каждая оплата подтверждается разблокировкой смартфона или биометрией — это аналог ввода ПИН-кода карты. Банки поддерживают оплату MIR Pay и в интернет-магазинах, а не только в офлайн-точках.
Что отвечает за безопасность
- Токенизация: номер карты заменяется токеном и не хранится у магазина.
- Подтверждение каждой оплаты биометрией или разблокировкой устройства.
- Реквизиты не передаются продавцу и терминалу.
- Для карт «Мир» MIR Pay заменяет недоступные в России Apple Pay и Google Pay.
Прикинуть срок и бюджет приложения интернет-магазина с подключённой оплатой можно на калькуляторе стоимости разработки.
Apple Pay: модель безопасности и статус в России
Способ 3. Где проходит платёж — через токен в Secure Element на iPhone
Как устроено: Apple Pay построен на токенизации: номер карты хранится не на устройстве, а заменяется токеном в защищённой области (Secure Element), и каждая оплата подтверждается через Face ID или Touch ID. Модель безопасности Apple Pay считается эталонной для бесконтактных платежей.
Но для покупателей в России есть важная оговорка. Apple прекратила поддержку карт «Мир» в Apple Pay ещё в 2024 году, а в 2026 остановила платёжные операции в России полностью — даже зарубежные карты в сервис больше не добавляются. Поэтому в российском интернет-магазине Apple Pay сейчас не работает как способ оплаты.
Что это значит для магазина
- Закладывать Apple Pay как рабочий способ оплаты для покупателей в России не стоит.
- На Android его роль выполняет MIR Pay, а владельцы iPhone в России платят картой или через СБП.
- Сам принцип — токенизация и подтверждение биометрией — остаётся ориентиром для безопасной оплаты.
Сравнение способов оплаты для интернет-магазина
Способы различаются тем, где проходит платёж, какие данные видит магазин и на каких устройствах работают. Сведём их вместе:
| Способ | Как платит покупатель | Данные карты магазину | Статус в России |
|---|---|---|---|
| СБП | В своём банковском приложении по QR, кнопке или ссылке | Не передаются (оплата по счёту) | Работает, основной способ |
| MIR Pay | Бесконтактно по NFC или в приложении, картой «Мир» | Не передаются (токен) | Работает на Android |
| Apple Pay | Бесконтактно или в приложении, токеном | Не передаются (токен) | Недоступен в России |
| Карта через эквайринг | Ввод данных в защищённом окне провайдера | Не хранятся в магазине (токенизация) | Работает |
Важно понимать: ни один способ не даёт абсолютной защиты — безопасность даёт их сочетание и соблюдение правил со стороны магазина. Зато все способы объединяет одно: при правильной интеграции приложение магазина не хранит реквизиты карты.
Чек-лист безопасной оплаты в приложении
Со стороны магазина безопасность оплаты — это набор понятных мер. Что проверить перед запуском:
| Мера | Что даёт |
|---|---|
| Не хранить номер карты и CVV в приложении и базе | Снимает основную часть требований PCI DSS и убирает главную цель для кражи |
| Принимать оплату через сертифицированного провайдера | Ввод карты идёт в защищённом окне провайдера, а не в коде магазина |
| Включить 3-D Secure для карточных платежей | Снижает риск оплаты украденной картой |
| Добавить СБП и MIR Pay | Оплата без передачи реквизитов карты магазину |
| Шифровать соединение (TLS/HTTPS) | Защищает данные в пути |
| Оформить согласие на обработку персональных данных | Соответствие требованиям 152-ФЗ, как и на сайте магазина |
Эти меры закрывают основные риски, но безопасность стоит проверять и в коде. Перед релизом или при сомнениях в чужом приложении помогает аудит кода, а для работающего продукта — аудит мобильного приложения от 7 дней.
Сколько стоит подключить безопасную оплату
Если приложение разрабатывается на модульной платформе, приём оплаты — эквайринг, СБП и платёжные кошельки — входит в готовый модуль платёжной интеграции. Отдельно настраивать безопасность не приходится: токенизация, переход в окно провайдера и 3-D Secure встроены в этот модуль, а комиссию за приём платежей назначает банк или платёжный провайдер.
На платформе FITTIN модель складывается из трёх частей: единоразовая интеграция готовых модулей под бренд, ежемесячные лицензионные платежи с включённой технической поддержкой команды и доработки нового функционала по Time & Materials со сметой и оценкой по часам перед стартом задачи. Уникальные платёжные сценарии относятся к третьей части. Актуальные цифры по интеграции и лицензии — на странице тарифов.
Зафиксировать способы оплаты и интеграции до старта поможет разработка технического задания.
Кейсы и практика
Как приём оплаты выглядит в готовых приложениях интернет-магазинов на платформе — несколько проектов с оформлением заказа, оплатой и программой лояльности.
Заказ и доставка продуктов с интеграцией 1С. Европа маркет — приложение сети гипермаркетов для заказа и доставки продуктов на Flutter с интеграцией товарного учёта 1С: оформление заказа с доставкой на дом или в офис и карта лояльности со скидками. Для канала доставки, где заказ оплачивают на ходу, безопасный приём оплаты особенно важен.
+5% к показателям мобильного канала. Пан Чемодан — приложение сети магазинов сумок и чемоданов на Flutter с кастомным дизайном: каталог, карточка товара, корзина, оформление заказа, пункты самовывоза и программа лояльности; сеть представлена в 40 городах. После запуска приложения прирост показателей мобильного канала составил 5%.
Другие проекты интернет-магазинов — в разделе кейсов. Если приложение делал другой подрядчик, проверить и доработать приём оплаты можно через техническую поддержку.
Итог: безопасность платежей на одной странице
Безопасная оплата в приложении магазина держится на одном правиле и нескольких мерах вокруг него. Коротко:
- Главное правило. Приложение и магазин не хранят номер карты и CVV.
- СБП. Оплата в банковском приложении покупателя, реквизиты карты магазину не передаются.
- MIR Pay. Бесконтактная оплата картой «Мир» на Android с токенизацией и биометрией.
- Apple Pay. Эталонная модель безопасности, но в России сейчас недоступен — его роль выполняет MIR Pay.
- Меры магазина. Провайдер с PCI DSS, 3-D Secure, шифрование, согласие на обработку данных.
Оптимальный путь для интернет-магазина — подключать оплату через готовый платёжный модуль, где токенизация, переход в окно провайдера и СБП уже встроены, а реквизиты карты не оседают в приложении. Посмотреть, как устроены приложения интернет-магазинов с каталогом, оплатой и лояльностью, можно в разделе мобильных приложений для интернет-магазинов или в комплексной разработке e-commerce.
Что делать дальше: рассчитать срок и бюджет на калькуляторе стоимости, посмотреть приложение для интернет-магазина на платформе или сразу обсудить проект с командой.
Часто задаваемые вопросы
Что делает оплату в мобильном приложении безопасной?
Безопасность складывается из нескольких мер: токенизации (вместо номера карты используется одноразовый токен), приёма оплаты через сертифицированного по PCI DSS провайдера, подтверждения операции через 3-D Secure, шифрования канала по TLS и биометрии в платёжных кошельках. Ключевой принцип — приложение и магазин не хранят номер карты и CVV. Ни один отдельный способ не даёт абсолютной защиты, безопасность даёт сумма мер.
Передаются ли данные карты магазину при оплате через СБП?
Нет. При оплате через СБП покупатель подтверждает перевод в своём банковском приложении — по QR-коду, кнопке или ссылке. Реквизиты карты магазину не передаются вообще: платёж идёт по счёту, а авторизация проходит внутри банка клиента по зашифрованному каналу. Поэтому приложению магазина нечего хранить из карточных данных, а комиссия по СБП ниже классического эквайринга.
Как работает безопасность MIR Pay?
MIR Pay — сервис НСПК (Национальная система платёжных карт) для бесконтактной оплаты картами «Мир» на Android через NFC. Он использует токенизацию: вместо номера карты на устройстве хранится токен, а реквизиты не передаются продавцу. Каждая оплата подтверждается разблокировкой смартфона или биометрией — это аналог ввода ПИН-кода. MIR Pay работает на Android 7.0 и выше с NFC и заменяет для карт «Мир» недоступные в России Apple Pay и Google Pay.
Работает ли Apple Pay в России в 2026 году?
Нет. Apple прекратила поддержку карт «Мир» в Apple Pay ещё в 2024 году, а в 2026 остановила платёжные операции в России полностью — даже зарубежные карты в сервис больше не добавляются. Модель безопасности Apple Pay (токенизация и подтверждение по Face ID или Touch ID) остаётся эталонной, но для покупателей в России сервис недоступен. На Android его роль выполняет MIR Pay, а владельцы iPhone в России платят картой или через СБП.
Можно ли хранить номер карты покупателя в приложении магазина?
Хранить номер карты и CVV в приложении или базе магазина нельзя, если инфраструктура не сертифицирована по PCI DSS (международный стандарт защиты данных банковских карт) — а сертификация трудоёмка и для большинства магазинов избыточна. Правильный подход — отдать ввод карты платёжному провайдеру: данные вводятся в его защищённом окне и заменяются токеном, по которому потом проходят повторные оплаты. Так магазин не хранит карточные данные и снимает с себя основную часть требований PCI DSS.
Что такое 3-D Secure и зачем он нужен?
3-D Secure — это дополнительное подтверждение операции по карте: банк просит код из сообщения, вход в приложение банка или биометрию. Он снижает риск оплаты украденной картой, потому что для платежа недостаточно знать только её номер. Для карточных платежей в приложении 3-D Secure включают на стороне платёжного провайдера, и для интернет-магазина это базовая мера защиты от мошеннических операций.
Сколько стоит подключить безопасную оплату в приложении?
Если приложение разрабатывается на модульной платформе, приём оплаты — эквайринг, СБП и платёжные кошельки — входит в готовый модуль платёжной интеграции, а комиссию назначает банк или платёжный провайдер. На платформе FITTIN модель складывается из единоразовой интеграции под бренд, ежемесячной лицензии с поддержкой и доработок по Time & Materials. Уникальные платёжные сценарии добавляются как доработки. Разработка похожего решения с нуля по рынку начинается от 5–10 млн ₽.
Материал носит информационно-аналитический характер, отражает оценку команды FITTIN на дату публикации.
Источники: СБП (НСПК), MIR Pay (НСПК), Apple Pay, Банк России.