Политика безопасности платежей
Сервис «Клод» (claude-rus.ru, далее — «Сервис») принимает оплату банковскими картами через лицензированного платёжного агрегатора. На этой странице описаны меры безопасности, применяемые при обработке платёжных данных пользователей.
1. Передача данных банковской карты
1.1. При оплате на сайте Сервиса данные банковской карты (номер, срок действия, CVV/CVC) передаются напрямую в защищённый платёжный шлюз агрегатора через шифрованное соединение HTTPS (TLS 1.2 или выше).
1.2. Исполнитель не получает полные данные банковской карты — номер карты, CVV/CVC, ПИН-код. После проведения операции на сторону Сервиса возвращается только: первые 6 и последние 4 цифры номера карты (замаскированный номер), срок действия, тип платёжной системы.
1.3. Хранение полных карточных данных на инфраструктуре Сервиса запрещено в соответствии с требованиями PCI DSS и Условиями договора с платёжным агрегатором.
2. Стандарт PCI DSS
2.1. Платёжный агрегатор, обрабатывающий карточные данные пользователей Сервиса, сертифицирован по стандарту Payment Card Industry Data Security Standard (PCI DSS), что соответствует требованиям международных платёжных систем (Visa, Mastercard, МИР).
2.2. Сервис использует виджет агрегатора (а не собственную форму ввода карты), что обеспечивает соответствие PCI DSS на стороне агрегатора и минимизирует требования к инфраструктуре Сервиса.
3. Технология 3-D Secure
3.1. Все операции по банковским картам производятся с использованием технологии 3-D Secure (3DS 1.0 или 3DS 2.0 в зависимости от банка-эмитента карты).
3.2. При оплате пользователь подтверждает операцию одним из следующих способов на стороне банка-эмитента: одноразовый SMS-код, push-уведомление, биометрия, код в мобильном приложении банка.
3.3. Это защищает пользователя от несанкционированного использования его карты на Сервисе.
4. Защита соединения
- Сайт обслуживается по протоколу HTTPS с валидным сертификатом Let’s Encrypt (TLS 1.2/1.3).
- Установлен заголовок HTTP Strict Transport Security (HSTS) с preload-флагом, что принуждает браузер всегда использовать HTTPS-соединение.
- Установлены защитные HTTP-заголовки: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
- Cookies устанавливаются с флагами
HttpOnly,Secure,SameSite=Strict.
5. Хранение данных пользователей
5.1. Сервер Сервиса расположен на территории Российской Федерации, что соответствует требованиям ст. 18 № 152-ФЗ.
5.2. Пароли пользователей хранятся в виде криптографического хеша по алгоритму Argon2id — одного из наиболее устойчивых к атакам современных алгоритмов хеширования.
5.3. Содержимое переписки пользователей с ИИ-моделями шифруется в базе данных алгоритмом AES-256-GCM с уникальным вектором инициализации для каждой записи.
5.4. IP-адреса пользователей в логах и аудит-таблицах маскируются до уровня /24 для IPv4 и до уровня /48 для IPv6 — полные IP-адреса не сохраняются.
5.5. Резервные копии базы данных шифруются с использованием GPG и хранятся на отдельной независимой инфраструктуре.
6. Защита от мошенничества
Сервис применяет многоуровневую систему защиты от несанкционированных операций:
- Анти-фрод платёжного агрегатора — автоматическая проверка карты по международным базам украденных карт.
- 3-D Secure — подтверждение операции владельцем карты.
- Ограничение скорости запросов — rate-limiting на регистрацию, авторизацию и API-вызовы.
- Мониторинг подозрительной активности — ежедневный анализ паттернов использования с автоматическими предупреждениями оператору.
- Аудит-логирование — все ключевые действия (вход, выход, создание/отзыв API-ключей, изменение тарифа) фиксируются в защищённой аудит-таблице.
7. Возврат денежных средств
7.1. Возврат денежных средств производится тем же способом и на ту же карту, с которой была произведена оплата.
7.2. Условия и порядок возврата указаны в разделе 8 Публичной оферты и на странице «Условия возврата».
8. Что делать при подозрении на несанкционированную операцию
Если вы увидели на своей карте списание со стороны сервиса «Клод», которое не совершали:
- Незамедлительно сообщите об этом своему банку-эмитенту карты — заблокируйте карту и инициируйте процедуру опротестования операции.
- Напишите нам на codelotu2@yandex.ru с темой «Несанкционированная операция» — укажите дату, время, сумму операции. Мы ответим в течение 24 часов и окажем содействие в расследовании.
- При подтверждении факта мошеннической операции возврат денежных средств производится в течение 5 банковских дней.
9. Контакты по вопросам безопасности
- Email: codelotu2@yandex.ru
- Тема обращений: «Безопасность платежей» / «Несанкционированная операция» / «Утечка данных»
- Срок ответа: до 24 часов
10. Связанные документы
- Публичная оферта — раздел 5 (Порядок оплаты)
- Политика конфиденциальности — раздел 8 (Безопасность данных)
- Условия и порядок возврата
- Реквизиты