Меры по обеспечению безопасности

SSL/TLS 1.3

Защищённое соединение (SSL / TLS 1.3)

Весь трафик между браузером покупателя, платформой и платёжным шлюзом передаётся по защищённому каналу HTTPS с шифрованием TLS 1.3. SSL-сертификат выдан и автоматически обновляется через Let's Encrypt на уровне Cloudflare.

3D Secure 2.0

Все карточные транзакции на платформе проходят обязательную двухфакторную верификацию по стандарту 3D Secure 2.0: после ввода реквизитов карты банк-эмитент запрашивает у покупателя одноразовый код (SMS, push в мобильном банке или биометрия). Это защищает от несанкционированного использования чужих карт.

PCI DSS SAQ-A

Платформа On AI не получает, не обрабатывает и не хранит реквизиты банковских карт покупателей. Весь процесс ввода карты и последующей авторизации происходит только на стороне банка-эквайера, сертифицированного по стандарту PCI DSS Level 1.

Это соответствует модели PCI DSS SAQ-A — торговая точка (наша платформа) полностью аутсорсит обработку карт провайдеру, что исключает риск утечки карт-данных с наших серверов.

Tokenization для подписок

Для рекуррентных платежей (подписки с автопродлением) используется технология токенизации: вместо номера карты платформа хранит одноразовый уникальный токен, полученный от банка-эквайера. Токен валиден только для одного мерчанта и не может быть использован для оплаты где-либо ещё.

Инфраструктура и хостинг

Сайт onaii.app и Mini App app.onaii.app размещены на Cloudflare Pages (платный enterprise CDN):

Фиксированный домен с SSL-сертификатом TLS 1.3
Глобальная сеть из 300+ дата-центров — обеспечивает доступность 99.99%
Встроенная защита от DDoS-атак
Web Application Firewall (WAF) с автоматической блокировкой подозрительных запросов
Ежечасные backup'ы и мониторинг 24/7

Защита персональных данных

Данные клиентов хранятся в шифрованном виде
Доступ к БД только по white-list IP и с двухфакторной аутентификацией
Все запросы к API логируются; логи хранятся 90 дней
Соответствие Закону РК «О персональных данных и их защите»
Раскрытие данных только по официальным запросам уполномоченных органов РК

Антифрод и мониторинг

Мониторинг транзакций на стороне банка-эквайера
Автоматическая блокировка авторов с аномально высокой долей чарджбеков (> 2%)
Forbidden-фильтр продуктов на уровне платформы (7 категорий запрещённого контента)
Санкционный скрининг всех авторов при онбординге (OFAC, EU, UN sanctions)

Если вы подозреваете компрометацию своей карты — немедленно обратитесь в свой банк для блокировки и в нашу поддержку: support@onaii.app, @onai_support, +7 707 161 66 99.