.PNG)
Торговля и ритейл: кибербезопасность и SOC-мониторинг
43% атак на ритейл направлено на платёжную инфраструктуру и данные покупателей.
Утечка данных банковских карт покупателей — штраф до 500 млн ₽ по ФЗ-420 плюс блокировка приёма карт. SOC-мониторинг для торговых сетей, интернет-магазинов и ритейлеров. Защита POS-систем, онлайн-платежей, программ лояльности и персональных данных покупателей.
Актуальные угрозы: Торговля и ритейл
Специфические векторы атак, о которых должен знать ваш SOC
Кардинг: RAM-скрапинг POS и Magecart
Перехват данных банковских карт происходит двумя основными способами: RAM-скрапинг POS-терминалов (вредоносный код считывает данные карты из оперативной памяти в момент транзакции) и Magecart/web skimming (внедрение вредоносного JavaScript на страницу оплаты интернет-магазина, перехватывающего данные карты при вводе). Второй вектор стремительно растёт и практически не виден без специального мониторинга.
Атаки на программы лояльности
Программы лояльности аккумулируют ценные данные: имена, телефоны, email, история покупок, предпочтения. Компрометация личных кабинетов покупателей через credential stuffing (подстановку утечённых паролей) или уязвимости в API позволяет массово похищать бонусные баллы, данные о покупателях или использовать аккаунты для мошеннических операций.
Веб-скрапинг и кража бизнес-данных
Автоматизированный сбор данных с сайтов ритейлеров конкурентами или мошенниками: кража каталогов с ценами и описаниями, алгоритмов динамического ценообразования, базы контактных данных покупателей из открытых разделов. Агрессивный скрапинг создаёт нагрузку на серверы, снижая производительность для реальных покупателей.
DDoS в пиковые периоды продаж
Блокировка сайта в Чёрную пятницу, в период новогодних распродаж или в дни маркетинговых акций наносит максимальный ущерб. Крупные интернет-ритейлеры теряют от 1 до 10 млн рублей выручки в час при недоступности сайта. Конкуренты иногда заказывают такие атаки целенаправленно — именно в момент чужих акций.
Регуляторные требования
PCI DSS (Payment Card Industry Data Security Standard)
Международный стандарт безопасности для организаций, обрабатывающих, передающих или хранящих данные платёжных карт. Для интернет-магазинов с собственной страницей оплаты обязателен минимум SAQ-A-EP или SAQ-D. Нарушение требований PCI DSS — штрафы платёжных систем от $5 000 до $100 000 в месяц и блокировка возможности принимать карты Visa/MasterCard. Регулярные ASV-сканирования и ежегодный пентест — обязательны.
ФЗ-420 (оборотные штрафы за утечку ПДн)
С 30 мая 2025 года действуют оборотные штрафы за утечку персональных данных: до 1% годового оборота при первичной утечке и до 3% при повторной (не менее 20 млн и не более 500 млн рублей). Данные покупателей в программах лояльности — персональные данные. Обязанность: уведомить Роскомнадзор об утечке в течение 24 часов, об объёме ущерба — в течение 72 часов.
152-ФЗ «О персональных данных»
Данные покупателей — ФИО, телефоны, email, история покупок — персональные данные, обработка которых требует согласия и надлежащей защиты. Для программ лояльности критично: исполнение требований об уведомлении субъектов ПДн, праве на удаление, ограничение трансграничной передачи данных.
Требования маркетплейсов и платёжных систем
Wildberries, Ozon, Яндекс Маркет и другие крупные маркетплейсы устанавливают собственные требования к безопасности продавцов и IT-интеграций. Платёжные системы (Sberbank Acquiring, T-Bank, ЮКassa) предъявляют требования к защите API интеграций. Несоблюдение — блокировка аккаунта или ограничение выплат.
SOC КРЕДО-С — лицензиат ФСТЭК с 2007 года и ФСБ с 2009 года. Полный комплект документации для регуляторных проверок предоставляется в рамках договора.
Наши услуги — Торговля и ритейл
Комплекс мер защиты с учётом специфики отрасли
Мониторинг событий ИБ (SOC)
Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты и оповещает до 30 минут.
MSSP-услуги
Собственный SOC стоит от 10 млн в год — оборудование, лицензии, три смены аналитиков. MSSP от КРЕДО-С даёт тот же уровень защиты от 50 000 ₽/мес без капитальных затрат и найма.
Расследование инцидентов
Атака произошла — теперь важно понять, как именно, что утекло и какие следы остались. КРЕДО-С подключается в течение 4 часов, фиксирует цифровые доказательства и восстанавливает полную картину инцидента. Предварительные результаты — за 3–5 рабочих дней.
Анализ защищённости
Выявление уязвимостей ИТ-инфраструктуры: автоматизированное сканирование сертифицированными сканерами и ручной анализ конфигураций СЗИ. Каждая уязвимость верифицируется по БДУ ФСТЭК и оценивается по CVSS.
Кейс из практики
Федеральная торговая сеть
80 магазинов, интернет-магазин с 500 тысяч покупателей в программе лояльности
После атаки Magecart на конкурирующую торговую сеть с утечкой 2 млн карт покупателей, руководство приняло решение о срочном аудите и выстраивании защиты. Исходно: нет мониторинга JS-кода на платёжных страницах, WAF не настроен под web skimming, данные программы лояльности не зашифрованы.
SOC-мониторинг платёжной инфраструктуры и веб-сайта, внедрение мониторинга целостности JS на платёжных страницах (SRI), настройка WAF с правилами против Magecart, DLP для данных покупателей программы лояльности, аудит PCI DSS, обучение команды разработки безопасной разработке.
В первые 3 недели мониторинга обнаружен и заблокирован Magecart-скиммер на этапе попытки внедрения через уязвимость в CMS-плагине. Данные карт покупателей не скомпрометированы. Аудит PCI DSS SAQ-D пройден без критических замечаний. Уведомления в РКН не потребовались.
Полезные статьи
Персональные данные и 152-ФЗ — что нужно знать бизнесу в 2025-2026 году
Что такое персональные данные, какие требования предъявляет 152-ФЗ, какие штрафы грозят за утечку (оборотные штрафы до 3% выручки). Пошаговый план приведения в соответствие и роль SOC в защите ПДн.
Антифишинг для бизнеса — обучение сотрудников кибербезопасности
Почему сотрудники — главная уязвимость компании и как это исправить. Сравнение антифишинг-платформ, ROI обучения и программа киберучений КРЕДО-С.
Защита от DDoS-атак: типы угроз, средства защиты и что делать при атаке
DDoS-атаки на российские компании выросли на 65% в 2025 году. Разбираем типы атак, средства защиты, план действий при DDoS. Как SOC-мониторинг помогает обнаружить атаку на ранней стадии.
Мониторинг событий ИБ: как работает и зачем нужен
Мониторинг событий информационной безопасности — непрерывный анализ логов через SIEM для раннего обнаружения атак. Как работает, что мониторить и как выбрать SOC.
Аутсорсинг ИБ: что входит в сервис и сколько стоит
Аутсорсинг информационной безопасности — MSSP или внешний SOC вместо штатного отдела ИБ. Разбираем модели, что входит в сервис, сравнение с инхаусом и стоимость.
Вопросы и ответы
Что такое PCI DSS и нужен ли он нашему интернет-магазину или торговой сети?
PCI DSS (Payment Card Industry Data Security Standard) — обязательный стандарт безопасности для любой организации, принимающей, обрабатывающей или хранящей данные платёжных карт. Для интернет-магазинов с собственной страницей оплаты минимальный уровень — SAQ-A-EP или SAQ-D в зависимости от архитектуры. Для розничных сетей с POS-терминалами — SAQ-P2PE или SAQ-C. Нарушение требований PCI DSS грозит штрафами платёжных систем от $5 000 до $100 000 в месяц, а при систематическом нарушении — блокировкой возможности принимать карты Visa и Mastercard.
Как SOC помогает торговой сети соответствовать ФЗ-420 и избежать оборотных штрафов?
SOC КРЕДО-С выстраивает непрерывный мониторинг систем, обрабатывающих персональные данные покупателей: движения данных, попыток несанкционированного доступа, аномального поведения систем. При обнаружении утечки или её попытки мы немедленно уведомляем вас и готовим уведомления для Роскомнадзора в регламентные сроки: об инциденте — в течение 24 часов, об объёме ущерба — в течение 72 часов. Своевременное уведомление и доказанные меры защиты влияют на размер штрафа.
Как защитить интернет-магазин от Magecart и атак на платёжные страницы?
Защита от Magecart строится на нескольких уровнях. Технический: Content Security Policy (CSP) для ограничения выполнения JS со сторонних ресурсов, Subresource Integrity (SRI) для контроля целостности JS-библиотек, WAF с сигнатурами против web skimming. Мониторинговый: регулярный аудит JS-кода на платёжных страницах и автоматическое уведомление при изменении файлов. SOC-уровень: мониторинг сетевого трафика с платёжных страниц на аномальные исходящие соединения.
Нужен ли SOC, если наш магазин принимает карты через сторонний платёжный шлюз?
Да. Ответственность за безопасность данных покупателей и соответствие PCI DSS остаётся на торговой компании, даже если сам процессинг выполняет банк или платёжный агрегатор. Уязвимость на вашем сайте, позволяющая внедрить Magecart-скиммер, — ваша ответственность. Утечка через вашу инфраструктуру или ваших подрядчиков — ваш штраф по ФЗ-420 и PCI DSS. Платёжный шлюз закрывает только свою часть цепочки обработки.
Как защитить программу лояльности и личные кабинеты покупателей?
Защита программы лояльности включает несколько направлений. Техническая защита API: rate limiting, антибот-меры, двухфакторная аутентификация для административных функций. Мониторинг: выявление credential stuffing (массовый перебор паролей из утечённых баз), аномального списания баллов, массового экспорта данных покупателей. Защита данных: шифрование чувствительных полей в базе, ограничение прав доступа сотрудников. SOC КРЕДО-С настраивает мониторинг с учётом специфики ритейл-систем и защиты программ лояльности.
Рассчитайте стоимость SOC — Торговля и ритейл
Калькулятор учитывает специфику вашей отрасли, регуляторные требования и размер инфраструктуры