Високі стандарти безпеки

Ми серйозно ставимося до безпеки. Суворі перевірки, захищене зберігання даних, контроль співробітників і дотримання всіх нормативів гарантує безпеку, стабільність і надійність нашої платформи. Ми завжди прагнемо до впровадження нових систем оцінки технологій, процесів та ризиків і незалежного тестування, щоб постійно вдосконалюватися.

hidden card
visible card
  • Шифрування даних

    Ми дотримуємось стандартів PCI DSS для провайдерів послуг.

  • Безпека веб-додатків

    Ми дотримуємось галузевих стандартів захищеного кодування.

  • Фізична і мережева безпека

    Дані зберігаються в спеціалізованій системі під цілодобовим захистом.

Сертифікація та комплаєнс

Спеціальна команда в Corefy переглядає процедури та політику, щоб підтримувати їх у відповідності до стандартів, а також визначає, які елементи управління, процеси і системи необхідні для забезпечення комплаєнсу.

Ми також регулярно проводимо внутрішній аудит і сприяємо проведенню незалежних аудитів та оцінок третіми сторонами.

Відповідність PCI DSS Рівень 1

Стандарт безпеки даних індустрії платіжних карток (PCI DSS) є одним із стандартів, створених основними платіжними системами. Відповідність цьому стандарту робить онлайн-транзакції безпечними і захищає від крадіжки персональних даних. Це збільшує контроль за даними власника картки і зменшує ймовірність шахрайства з кредитними картками.

Показати більше
  • PCI DSS Рівень 1
    i
    Corefy відповідає найсуворішим вимогам стандарту PCI DSS. Це гарантує надійний захист ваших платежів. Ми щорічно проводимо інтенсивний аудит, щоб впевнитись в дотриманні найвищих рівнів відповідності.
  • Визнання в галузі
    i
    Платформа Corefy входить до Visa Global Registry of Service Providers та Mastercard Compliant Service Providers List.
  • PCI-відповідність для вас необов'язкова
    i
    Позбавте себе від необхідності PCI DSS сертифікації і дозвольте нам працювати з банками від вашого імені. Ми піклуємося про конфіденційність даних, забезпечуючи повністю захищені зашифровані транзакції для вас і ваших клієнтів.
  • Не зберігаємо заборонені дані
    i
    Слідуючи найсуворішим стандартам безпеки, ми не зберігаємо дані магнітної смуги, коди валідації карток або дані PIN. Зберігання таких даних суворо заборонене PCI DSS.

VISA Third Party Agent (TPA) та Mastercard Registration Program (MRP)

Наша реєстрація у VISA Third Party Agent (TPA) і Mastercard Registration Program (MRP) забезпечує додатковий рівень безпеки для наших клієнтів. Всі провайдери послуг, що мають доступ до даних власників карток, повинні відповідати вимогам до безпеки даних до початку надання послуг, а також бути зареєстрованими у VISA Agent Registration Program для включення у Visa Global Registry of Service Providers. Mastercard зобов'язує усіх провайдерів послуг відповідати вимогам PCI DSS та бути зареєстрованими як Member Service Providers (MSP).

Показати більше

ISO 9001, 27001

Міжнародна організаіця зі стандартизації (ISO) також активна в сфері стандартизації платіжного та IT ринків. Нині велика кількість даних зберігається в електронному вигляді. Це є однією із загроз для фінансової індустрії. Одним зі стандартів ISO є стандарт інформаційної безпеки, що встановлює принципи захисту конфіденційних та вразливих даних для усіх видів організацій.

Показати більше
  • ISO/IEC 27001
    i
    Присуджується організаціям, які відповідають високим світовим стандартам ISO. Corefy отримав сертифікат ISO/IEC 27001:2013 за додатки, системи, персонал, технології і процеси.
  • ISO 9001
    i
    Цей міжнародний стандарт визначає вимоги до Системи менеджменту якості (QMS). Організації використовують цей стандарт для демонстрації здатності постійно надавати якісні продукти і послуги, які відповідають клієнтським та регуляторним вимогам. Пакет HRMS & Finance додатків Corefy відповідає вимогам ISO 9001.

Програмне забезпечення, яке відповідає PSD2

PSD2 це друга ітерація Директиви про платіжні послуги (PSD), впроваджена Європейським Союзом. Її дія поширюється як на окремих споживачів, так і на бізнес. Директива дозволяє клієнтам банків використовувати сторонніх провайдерів для управління своїми фінансами. Під регулювання підпадають всі компанії, що працюють з платежами в Європі. Положення документу стосуються, зокрема, врегулювання залучення сторонніх провайдерів і суворої аутентифікації клієнтів (SCA).

Показати більше

GDPR

Загальний регламент про захист даних — це європейське регулювання, що зобов'язує бізнес захищати персональні дані та приватність громадян ЄС при обробці їх особистої інформації. Corefy завжди стежить за безпекою конфіденційних даних користувачів, слідуючи передовим галузевим стандартам. Ми вбачаємо у GDPR посилюючий фактор для нашого відповідального підходу до захисту даних. Наші пропозиції повністю відповідають GDPR, а обробка даних наших клієнтів базується на принципах, закладених GDPR.

Показати більше

Безпечна інфраструктура

Corefy дотримується високих стандартів безпеки, цілісності та стабільності. Усвідомлюючи, що ви довіряєте нам свої дані, ми робимо все можливе для їх безпеки і постійно шукаємо можливості стати краще.

  • Наша платіжна платформа працює повністю на Amazon Web Services (AWS) - безпечній платформі хмарних сервісів, що надає обчислювальні потужності, зберігання баз даних та інші можливості, які допомагають нам масштабуватися та розвиватися.
    amazon
  • Cloudflare допомагає нам протистояти DDoS-атакам будь-якого типу і об'єму, підвищуючи безпеку нашої платформи.
    cloudflare
  • Наш сайт захищено сертифікатом Comodo SSL.
    comodo
  • Наші користувачі проходять аутентифікацію за допомогою пароля та коду підтвердження. Додатковий рівень безпеки гарантує, що лише авторизовані користувачі Corefy можуть отримати доступ до свого облікового запису.
    hz

Надійність інфраструктури

Платіжна платформа Corefy, сертифікована PCI DSS, функціонує повністю на AWS, спираючись на кращі практики безпеки і контрольованості.

  • Хостинг
    i
    Наразі основні системи Corefy розміщені в окремих дата-центрах Amazon Web Services в Європі та США. Ми адмініструємо та управляємо усіма нашими серверами, не передаючи управління платіжним процесингом третім сторонам.
  • 99.95% безперервної роботи
    i
    Системи Corefy були спроектовані так, щоб час безперервної справної роботи був максимальним. Це можливо завдяки резервній і орієнтованій на обслуговування архітектурі без зберігання стану, яка одночасно приймає платежі на декількох хостингах.
  • Моніторинг
    i
    Наші інтернет-системи перевіряються з різних точок світу щонайменше кожні п'ять хвилин для оцінки доступності. Вся інфраструктура Corefy контролюється низкою платформ внутрішнього моніторингу, які цілодобово, 365 днів на рік, повідомляють наших інженерів про прогнозовані збої, загрози і помилки. Ми прагнемо завжди виявляти і усувати проблеми до того, як вони зможуть вплинути на нашу здатність процесувати транзакції.
  • Захист від DDoS атак
    i
    Ми використовуємо технології від перевірених і надійних провайдерів послуг для запобігання DDoS-атакам на наші сервери. Ці технології надають безліч можливостей для запобігання збоям, викликаним поганим трафіком, при цьому забезпечуючи достатню пропускну здатність для нормального трафіку. Це робить наші вебсайти, програми та API високодоступними і ефективними.
  • Час очікування
    i
    Наші дата-центри мають стратегічне розташування, що дозволяє обслуговувати ключові географічні регіони з мінімальною затримкою для наших клієнтів та їхніх мерчантів. За можливості, ми намагаємося обмінюватися трафіком зі стратегічними мережами інтернет-провайдерів, щоб мінімізувати час очікування нашої процесингової мережі.
  • Швидкість обробки
    i
    Наша стандартна панель керування звітністю в реальному часі містить звіти SLA. Швидкість процесингу, як правило, становить менше однієї секунди, включаючи перевірки ризику, в залежності від швидкості залученого еквайра та/або емітента. Інструмент розрахований на великі обсяги даних і включає повноцінний антифрод-скринінг.
  • Масштабовність
    i
    Corefy може обробляти 200 транзакцій в секунду або 535 680 000 транзакцій на місяць. Ми плануємо збільшити пропускну спроможність до 1000 транзакцій в секунду або до 2 678 400 000 транзакцій на місяць.

Управління безпекою

Ми контролюємо і спостерігаємо за діяльністю співробітників, клієнтів і провайдерів з метою захисту від підозрілих або несанкціонованих дій.

  • Міжмережевий екран
    i
    Ми фільтруємо весь вхідний і вихідний трафік через апаратні міжмережеві екрани.
  • Моніторинг
    i
    Ми використовуємо як внутрішні, так і зовнішні сервіси для моніторингу платформи. Вони попереджають членів операційної команди і команди безпеки про будь-які помилки або відхилення в стані додатку.
  • Тестування на проникнення
    i
    Ми виконуємо ретельне автоматичне сканування вразливостей кілька разів на тиждень як в нашій інтернет-інфраструктурі, так і у внутрішній. Команда штатних експертів і незалежних третіх осіб також кожні шість місяців проводить інтенсивне ручне і автоматичне випробування на можливість проникнення в систему.
  • Сканування
    i
    Ми щотижня виконуємо сканування/аудит безпеки, сертифіковані ASV, сканування внутрішньої і зовнішньої мережі та інші перевірки на відповідність вимогам PCI. Ми також регулярно проводимо випробування на можливість проникнення в систему і перевірки нашої мережі на вразливість.
  • Управління вразливістю
    i
    Вся інтернет- і внутрішня інфраструктура оперативно оновлюються при появі у постачальників виправлень і патчів від вразливостей.
  • Система запобігання вторгненням
    i
    З метою підвищення безпеки весь вхідний і вихідний трафік з нашої платформи моніториться активною системою запобігання вторгненням (IPS), яка блокує загрози поширених експлойтів і вразливостей нульового дня.

Максимальний захист даних

Захист і безпека даних є основними завданнями при виборі рішень для управління інформацією, особливо коли мова йде про вразливі платіжні дані вашої компанії. З нами ви можете бути спокійні — ми дотримуємось кращих галузевих практик.

  • TLS 1.2 (SSL)
    i
    Використовуючи протокол безпеки транспортного рівня (TLS) версії 1.2, Corefy гарантує безпеку платежів під час їх передачі, та безпечне з'єднання між сервером і браузером клієнта. Протокол TLS забезпечує передачу інформації в зашифрованому вигляді з використанням протоколу HTTPS, що виключає перехоплення даних і захищає від перенаправлення на шахрайські ресурси.
  • Шифрування даних
    i
    Дані власників карток захищені комбінацією симетричних і асиметричних криптографічних алгоритмів. Всі дані обробляються з використанням декількох ключів шифрування з розділеними відомостями і подвійним контролем. Без цих ключів зловмисники не зможуть використовувати інформацію, викрадену з бази даних.
  • Токенізація карток
    i
    Ми оброблюємо онлайн-платежі по кредитних картках, не використовуючи їх справжні дані. Замість цього ми використовуємо токени, тому будь-яке втручання на сервери не зашкодить власникам карток.
  • Відмова від зберігання заборонених даних
    i
    Ми не зберігаємо дані магнітної смуги, коди валідації карток або дані PIN.

Безпека у нас в ДНК

Працюючи в галузі, де довіра має першорядне значення, Corefy використовує просунуті методи захисту даних, щоб досягти впевненості у безпеці платформи. Ми прагнемо захистити кожного клієнта, застосовуючи передові методи забезпечення конфіденційності приватної інформації.

lock
  • cap

    Постійне навчання

    Наші фахівці з розробки та проектування регулярно проходять навчання в різних сферах, включаючи криптографію, OWASP Top 10 та інші, релевантні для нашої платформи.

  • community

    Свідомість команди

    Ми ділимося підходами до інформаційної безпеки на місцевому та національному рівнях для формування ком'юніті з безпеки.

  • strategic approach

    Стратегічний підхід

    Постійне внутрішнє і зовнішнє тестування допомагає нам визначити і зрозуміти тактики, які використовують зловмисники, а також знайти способи боротьби з ними.

  • third party testing

    Незалежне тестування

    Рішення, які є безпечними лише в теорії, неприйнятні. Ми співпрацюємо зі сторонніми провайдерами з метою тестування і оцінки наших засобів управління безпекою для підтвердження їх функціональності.

  • development

    Розробка

    Наші розробники тісно співпрацюють з різними відділами. Ми релізимо нові версії нашої системи щотижня, без простоїв або активного залучення наших клієнтів.

  • software and hardware

    Програмне та апаратне забезпечення

    Corefy повністю побудований на програмному забезпеченні з відкритим вихідним кодом. Це дає нам максимальний контроль над програмними компонентами, дозволяючи при цьому залишатися незалежними від третіх осіб. Всі дії по розробці, системному адмініструванню, створенню мереж, адмініструванню баз даних і забезпеченню безпеки виконуються нашими штатними фахівцями.

  • proven practices

    Перевірені практики

    Corefy веде звіт SOC 2, який надається незалежною сторонньою атестацією і доводить, що ми робимо відповідні кроки для захисту наших систем і ваших даних.

  • strong access controls

    Надійний контроль доступу

    Оперуючи такими цінними даними, як фінансова інформація, ми попередньо переконуємось, що заходи безпеки дотримані і доступ захищено. Використовуючи аутентифікацію OAuth, ми перетворюємо чутливі дані в тимчасовий ключ (або токен), який постійно змінюється для надійного захисту.

Захист доступу

Corefy надає можливості для захисту вашої організації, але вони ефективні лише якщо ви їх використовуєте. В іншому випадку ваш бізнес може бути вразливими.

  • two factor authetication
    Двофакторна аутентифікація. Зведіть до мінімуму ризики і забезпечте свій спокій, захистившись нашою двофакторною аутентифікацією, яка відповідає вимогам PCI
    i
    Для аутентифікації користувач повинен надати пароль та код підтвердження. Додатковий рівень безпеки гарантує, що лише авторизовані користувачі Corefy можуть отримати доступ до свого облікового запису.
  • activity log
    Лог активності. Захист даних, збереження конфіденційності та дотримання регулювання, включно з GDPR, повинні мати найвищий пріоритет для будь-якого бізнесу
    i
    Дуже важливо, щоб ви перевіряли всі дії з обробки даних для подальшого аналізу можливих порушень безпеки.
  • role access management
    Керування доступом за ролями. Надавайте користувачам лише ті права доступу, що необхідні для виконання їх професійних завдань, аби знизити ризики та впевнитись у дотриманні політик компанії
    i
    Ми розуміємо, що не кожному користувачеві у вашій організації потрібен повний доступ до додатку Corefy, тому ми підтримуємо кілька окремих груп користувачів з різними рівнями доступу.
  • session management
    Управління сесіями. Ми зберігаємо унікальні ідентифікатори сесій користувачів у вигляді записів в базі даних
    i
    У процесі аутентифікації ми перевіряємо логін і пароль користувача та ідентифікуємо його IP-адресу, операційну систему пристрою і браузер.

Corefy надає можливості для захисту вашої організації, але вони ефективні лише якщо ви їх використовуєте. В іншому випадку ваш бізнес може бути вразливими.

costumers
Клієнти
  • Надати доступ

    Акаунти, Підписки, Інвойси, Транзакції, Плани

Дозволи

  • Можливість редагувати
  • Тільки читання
reports
Звіти
  • Дозволити доступ та редагування

    Панель керування, Акаунти та Підписники, Плани, Рекурентний дохід, Утримання підписників, Транзакції, Експортування

configuration integrations
Конфігурація та інтеграції
  • Дозволити доступ та редагування

    Налаштування сайту, Плани, Налаштування інвойсів, Купони, Валюти, Податки, Шаблони листів, Платіжні шлюзи, Налаштування платіжної сторінки, Управління нагадуваннями, MailChimp, Salesforce

Потужні інструменти для запобігання шахрайству

  • card green
  • card purple
  • card blue
  • card yellow
  • card red

Card number

Result

Allowed

Result

Denied

Scanning

Scanned

Наші готові антифрод-рішення надають додатковий рівень захисту і допомагають ефективніше визначати конкретні проблеми і ризики, пов'язані з шахрайством.

  • Система управління правилами блокування
    i
    Автоматично відключайте підозрілий або небажаний трафік, використовуючи схеми блокування з динамічними правилами, які можна налаштувати.
  • Чорні списки
    i
    Після кількох невдалих спроб завершити транзакцію платник може бути автоматично доданий в чорний список.
  • Розумна 3DS-маршрутизація
    i
    Підключайте або відключайте 3DS у разі необхідності або застосовуйте вибірково для транзакцій, відфільтрованих за певним параметром.
  • Зовнішні системи оцінки ризиків
    i
    Підключіть надійні сторонні системи захисту від шахрайства і оцінки ризиків, такі як Kount, MaxMind або Ravelin, для додаткового рівня безпеки.

Повна підтримка 3D Secure

3D Secure — це протокол аутентифікації, який забезпечує додаткову верифікацію для транзакцій без присутності картки. Протокол відповідає регулюванню, включаючи вимогу суворої аутентифікації клієнтів (SCA), що передбачена PSD2.

3DS v2
3DS v1
  • Підтримка 3D Secure 1 та 2
    i
    На відміну від попередньої версії, де покупці перенаправляються на інший сайт, за 3D Secure 2 емітент картки виконує аутентифікацію у вашому додатку або платіжній формі. Особа покупця може бути підтверджена з використанням методів пасивної, біометричної і двофакторної аутентифікації.
  • Відповідність транзакцій вимогам SCA
    i
    Завдяки вбудованій підтримці протоколів аутентифікації 3D Secure 1 і 2 Corefy може допомогти забезпечити відповідність транзакцій вимогам SCA.
  • Зсув відповідальності за чарджбеки
    i
    Для визначених карток 3DS2 переносить відповідальність за чарджбеки через шахрайство з мерчанта на емітента картки.
  • Зростання показників
    i
    Дані свідчать, що частота схвалення емітентами транзакцій за 3DS2 вища.
  • Використання винятків
    i
    Рішення Corefy підтримує винятки з SCA, щоб у відповідних випадках ваші клієнти могли здійснювати транзакції безперешкодно і швидше.

Токенізація і зберігання даних карток

Використовуйте безпечні транзакції і токенізовані дані без будь-яких додаткових комісій. Приймайте платежі за та без наявності сертифікату PCI DSS завдяки нашій технології токенізації, яка гарантує безпеку даних клієнтів та дозволяє вам зосередитися на своєму бізнесі.

Наш потужний API дає гнучкість для створення сценаріїв оплати, які найкращим чином відповідають потребам вашого бізнесу.

Оптимізуйте процес оплати і забезпечте своїм клієнтам бездоганний досвід.

  • Списуйте кошти з однієї картки кілька разів, без необхідності повторного введення даних клієнтом
  • Безкоштовна авторизація для блокування коштів на картці клієнта дозволяє встигнути провести верифікацію за допомогою нашої антифрод-системи
  • Пропонуйте платежі в один клік, спрощуючи процес покупки
  • Створюйте платежі, підписки або плани за допомогою всього декількох рядків коду
  • Card Fingerprint
    QSHATNYPL342BT7A
  • Charge ID
    CHAR-SPBUFHTSJC4538LO2DKNT9RY
  • Fraud Score
    Safe
  • Credit card data

    ---- ---- ---- ----
    Cardholder name
    MM
    YY
    CVV

    Клієнт вводить дані картки

    Користувач вводить дані своєї кредитної картки за допомогою вашої кастомної форми, Checkout або безпосередньо через API.

  • На нашому боці створюється токен

    У нашому API створюється токен, і дані картки відправляються на наш токен-сервер.

  • Токен відправляється назад вам

    Токен передається на ваш бекенд. Ви можете безпечно обробляти платежі навіть без сертифікату PCI — ми подбали про це.