Card scheme compliance- что важно знать бизнесу до подключения

Nikita Veremeev

27.03.2026 | 6 мин чтения

Обновлено: 27.03.2026

Я веду COREDO с 2016 года и ежедневно вижу, как компаниям помогает не только грамотная регистрация юрлица или своевременное лицензирование, но и выстроенный до винтика card scheme compliance, соответствие требованиям платежных систем. Это та область, где стратегия, регуляторика и технология сходятся в одной точке. И если сделать «на отлично» именно здесь, масштабирование бизнеса, мультивалютная обработка и выход в новые рынки становятся вопросами планирования, а не удачи.

В статье собрал мою позицию как основателя COREDO, опыт команды из проектов в ЕС, Великобритании, Сингапуре, Дубае, Чехии, Словакии, на Кипре и в Эстонии. Постараюсь разобрать ключевые элементы соответствия card schemes (Visa, Mastercard и American Express), показать дорожную карту аккредитации мерчанта у card scheme, технические и AML/санкционные требования, а также шаги по снижению рисков и повышению ROI. Это не обзор с высоты птичьего полета: это практикум, основанный на кейсах и методологиях, которые мы используем в COREDO.

card scheme compliance для бизнеса

Иллюстрация к разделу «card scheme compliance для бизнеса» у статті «Card scheme compliance- что важно знать бизнесу до подключения»

Card scheme compliance, это не один сертификат и не «письмо от банка». Это сквозная экосистема: от договорных отношений с эквайером и PSP до PCI DSS, 3‑D Secure, AML/KYC, PSD2 SCA, санкционного мониторинга и процессов incident response. Любая слабая точка быстро становится источником штрафов схем, блокировок мерчанта или роста chargeback ratio выше порогов.

Наш опыт в COREDO показал, что успешный проект всегда начинается с точной постановки цели: где и как вы будете принимать карты (CNP или POS), насколько сложна бизнес‑модель (маркетплейс, криптосервисы, подписки, форекс, финансовые услуги), какой профиль транзакций и MCC предполагается, как устроен cashflow (settlement periods, escrow/rolling reserve), и какие юрисдикции участвуют в потоке данных (data localization и трансграничная передача платежных данных). От этих ответов зависит требование схем, объем PCI‑scope и архитектура техинтеграции.

Практика COREDO подтверждает: если на старте согласовать с эквайером underwriting‑критерии, MCC, лимиты, KYB/UBO‑раскрытие, правила DCC, кросс‑бордер‑обработку и ответственность за chargebacks, аккредитация мерчанта у card scheme проходит быстрее и без «перерыва на доработку».

Требования схем и договорные отношения

Иллюстрация к разделу «Требования схем и договорные отношения» у статті «Card scheme compliance- что важно знать бизнесу до подключения»

Visa merchant rules, Mastercard rules и спецификации American Express, это базовая библиотека правил для каждой роли: мерчант, PSP, процессор, acquiring bank. Рекомендую держать в фокусе:

Требования Visa и Mastercard к мерчантам: допустимые модели, ограничения криптоплатежей, правила recurring payments и хранения card on file, chargeback ratio thresholds.
American Express enrollment requirements: отдельная процедура подключения к платежной системе AmEx с проверкой отраслевого риска и ценовой модели.
Acquiring bank underwriting критерии: финансовая устойчивость, модель риска, refund policy, политика по фроду и SLA поддержки клиентов.
Договор эквайринга и условия схем: interchange++, settlement periods, rolling reserve/escrow, indemnities и распределение ответственности (merchant fraud liability allocation).
Merchant category code (MCC) классификация и риски: неверный MCC ведет к повышенным комиссиям, запретам или эскалациям.
BIN sponsoring риски и ответственность: если работаете как PSP/финтех с собственным BIN, важны BIN range management, соответствие network‑правилам и контроль скорингового профиля.

Команда COREDO не раз модерировала трёхсторонние переговоры (мерчант — PSP: банк‑эквайер), где финальное коммерческое предложение менялось после уточнения MCC, SCA‑флоу и санкционного контроля. Итог: ниже interchange++ из‑за корректной классификации, стабильные settlement periods и предсказуемость маржинальности.

Подключение мерчанта к платёжной системе

Иллюстрация к разделу «Подключение мерчанта к платёжной системе» у статті «Card scheme compliance- что важно знать бизнесу до подключения»

Чтобы сократить цикл подключения к эквайрингу и аккредитации у card schemes, мы по шагам проходим merchant onboarding checklist:

KYB и проверка бенефициаров перед подключением: beneficial ownership disclosure, UBO‑требования, структура владения, источники средств.
AML и KYC требования при подключении эквайринга: политика идентификации, anti‑money laundering transaction thresholds, процедура suspicious activity report (SAR).
Правила санкционного комплаенса: списки ЕС, OFAC и глобальные санкционные списки, screening клиентов и контрагентов, геоблок.
PSP Due Diligence requirements и чек‑листы: third party vendor risk assessments, contractual SLAs и процедуры аудита провайдеров.
Compliance governance и внутренняя политика платежей: роли, RACI‑матрица, регулярный аудит, training.
Сбор и передача отчетности в схемы карт: формат, сроки, ответственные лица.

В одном из проектов для маркетплейса из Сингапура решение, разработанное в COREDO, включало расширенный sanctions screening на уровне PSP и мерчанта с единым реестром алертов и SLA реагирования. Это позволило эквайеру одобрить повышенные лимиты и ускорить accreditation timeline.

PCI DSS, 3‑D Secure, токены, шифрование

Иллюстрация к разделу «PCI DSS, 3‑D Secure, токены, шифрование» у статті «Card scheme compliance- что важно знать бизнесу до подключения»

Технический контур — это половина успеха card scheme compliance. Здесь важно минимизировать PCI‑scope без компромисса по UX и безопасности.

PCI DSS требования для мерчантов: определяем роль и PCI‑scope, выбираем профиль SAQ (PCI SAQ A, SAQ A‑EP, SAQ D отличие и выбор).
PCI DSS сертификация перед подключением: роль Qualified Security Assessor (QSA) и Approved Scanning Vendor (ASV), внутренний и внешний скан, remediation.
Шифрование: encryption at rest и in transit, P2PE point to point encryption для бизнеса на POS.
Токенизация карт и соответствие схемам: vaulted vs vaultless tokenization, минимизация PCI scope с помощью токенизации, выбор token service provider и интеграция.
Hosted payment page как способ снизить PCI scope: перенос сбора карт на сертифицированный HPP.
Требования к хранению и защите данных карт: PAN truncation, key management, секреты и ротация ключей.
3‑D Secure внедрение и соответствие: merchant plug‑in (MPI), risk‑based authentication, dynamic 3‑D Secure и frictionless flow, liability shift и его влияние на ответственность.
Интеграция API эквайринга и ISO 8583: техническая интеграция checklist (API, webhooks, callbacks), профиль сообщений ISO 8583 и тестирование, sandbox тестирование интеграции с sandbox‑средой схем.

В недавнем кейсе для финтеха из Эстонии команда COREDO реализовала переход с SAQ A‑EP на SAQ A за счет hosted payment page и vaultless tokenization у сертифицированного TSP. Это сократило цикл аудита, снизило стоимость QSA‑проверок и упростило rollout 3DS 2.2 с поддержкой frictionless flow для low‑risk транзакций.

Регулирование PSD2/SCA/GDPR/AML/eIDAS

Иллюстрация к разделу «Регулирование PSD2/SCA/GDPR/AML/eIDAS» у статті «Card scheme compliance- что важно знать бизнесу до подключения»

Нормативная среда задает граничные условия card scheme compliance, особенно в ЕС и Великобритании.

PSD2 и SCA влияние на card scheme compliance: strong customer authentication как базовый слой для CNP, исключения и transaction risk analysis (TRA) методология.
GDPR при обработке платежных данных: правовые основания, минимизация данных, DPA с провайдерами, трансграничная передача данных.
eIDAS электронная идентификация для мерчантов: юридическая сила электронных подписей и идентификаций в онбординге.
FATF рекомендации и AMLD5/AMLD6 требования ЕС к платежным провайдерам: risk‑based approach, customer due diligence, ongoing monitoring.

В одном проекте для онлайн‑ритейлера в Чехии мы адаптировали TRA‑правила под SCA‑исключения с использованием fraud scoring и device fingerprinting. Результат, до 22% транзакций прошли frictionless, при этом chargeback ratio остался ниже порогов схем.

Антифрод, chargebacks, мониторинг риска

Сильная антифрод‑модель и управление чарджбэками — ключ к маржинальности и к спокойным отношениям со схемами.

Card‑not‑present (CNP) риск‑модели: device fingerprinting, поведенческая аналитика, velocity‑правила.
Fraud scoring модели и threshold tuning: A/B‑настройка порогов, сезонность, MCC‑специфика.
Transaction monitoring алгоритмы и сценарии триггеров: high‑risk гео, повторные попытки, тестовые карты.
Chargeback management и требования схем: merchant chargeback ratio calculation и мониторинг, retrieval request обработка и SLA, chargeback representment процесс и best practices.
Chargeback ratio thresholds требования схем: контроль на уровне BIN/мерчанта, ранние оповещения, предиктивная аналитика.

Практика COREDO: для мерчанта из Дубая мы внедрили многоуровневую модель — от pre‑auth scoring до адаптивного 3DS с RBA. Chargeback ratio снизился ниже контрольного порога, что позволило пересмотреть rolling reserve и улучшить cashflow.

POS-канал: EMV, POS‑сертификация и NFC

Если у вас смешанный канал (онлайн и офлайн), не игнорируйте требования к POS‑инфраструктуре.

EMV и chip‑and‑pin требования для POS: сертификация терминалов, согласование с эквайером профилей.
Point‑of‑sale (POS) сертификация и уровень совместимости: соответствие спецификациям схем, биометрия и fallback‑процедуры.
NFC contactless limits и политики схем: динамические лимиты, country‑specific политики.

В проекте в Словакии мы добились совместимости парка терминалов с P2PE и EMV Level 2/Level 3, что дало снижение ответственности мерчанта при фроде и доступ к обновленным contactless‑лимитам.

interchange++, DCC, сеттлы и сверки

Финансовая механика напрямую влияет на P&L мерчанта и ROI комплаенса.

Комиссии interchange и влияние на маржинальность: модели interchange++ и blended, влияние MCC, географии и карт‑уровней.
Settlement periods и механика расчетов: частота выплат, cut‑off times, удержания и корректировки.
Dynamic currency conversion (DCC) и соглашения с банком: прозрачность для держателя, Fx‑маржа, регуляторные ограничения.
Reconciliation и statement mapping лучшие практики: автоматизация сопоставления, SLA закрытия периода, контроль fee‑линий.

В кейсе для мерчанта в Великобритании команда COREDO настроила reconciliation‑процессы с точностью до fee‑кодов схем и внедрила statement mapping для нескольких PSP. Это сократило несоответствия и ускорило финансовую отчетность для инвесторов.

Партнерская экосистема PSP и BIN

Выбор технологических и банковских партнеров, стратегическое решение, влияющее на сроки аккредитации и устойчивость операций.

Рекомендации по выбору процессора и спонсора BIN: due diligence, technical SLA, уровень сертификаций, roadmap поддерживаемых схем.
Third party vendor risk assessments и SLA: аудит безопасности, резервирование мощностей, RTO/RPO.
Contractual SLAs для процессинговых сервисов: время авторизации, доступность, обработка reversals/refunds.
BIN range management и распределение BIN: гео‑покрытие, MCC‑профиль, правила схем.
Token service provider выбор и интеграция: совместимость с мобильными кошельками и card scheme rules.

Для платежного стартапа на Кипре мы провели vendor management с фокусом на contractual indemnity clauses и страхование ответственности (merchant fraud liability allocation и insurance). Это снизило юридические риски и улучшило условия спонсора BIN.

Масштабирование:мультивал./моб.кош./rec.

Рост транзакционного объема и выход на новые рынки требуют устойчивой архитектуры и соблюдения cross‑border правил.

Мультивалютная обработка платежей требования: поддержка FX‑курсов, локальные маршруты, ограничения cross‑border processing.
Совместимость мобильных кошельков и card scheme rules: токенизация, криптограммы, TSP‑интеграция.
Recurring payments и правила хранения card on file: отдельные индикаторы транзакций, SCA‑исключения, уведомления клиента.
Multi‑entity merchant structures compliance проблемы: аллокация рисков, общий chargeback ratio, сквозной AML‑мониторинг.
Data localization и трансграничная передача платежных данных: локальные требования отдельных стран и SCC/подобные механизмы.

В одном из проектов в Сингапуре решение, разработанное в COREDO, обеспечило единый token vault для группы компаний с разными мерчант‑ID и кросс‑бордер‑маршрутизацию. Это помогло сохранить UX, минимизировать PCI‑scope и соблюсти локальные правила хранения данных.

Инциденты, штрафы и устойчивость

Инциденты случаются даже у зрелых организаций. Важно не отрицать риск, а быть готовым.

Ответственность за утечку данных карт и штрафы: санкции схем за non‑compliance, кейсы, репутационные издержки.
Планы на случай инцидента и forensic investigation: incident response план, forensic data capture требования схем, выбор независимого расследователя.
Forensic data capture требования схем после инцидента: логирование, сохранение артефактов, цепочка хранения.
Data breach notification сроки и обязательства: кому и когда уведомлять — схемы, эквайер, регулятор, клиенты.
Operational resilience и DORA влияние на обработку платежей: требования к отказоустойчивости в ЕС, тестирование кризисных сценариев.

В кейсе для провайдера из Эстонии мы провели учения IRP с участием эквайера и PSP. После корректировок логирования и runbook уведомлений банк подтвердил «зрелость» процессов, а схемы смягчили требования к частоте внешних сканирований.

Санкционный и AML‑контур

Комплаенс схем тесно переплетен с AML/санкционными нормами, особенно при cross‑border.

мониторинг транзакций и правила санкционного контроля: списки ЕС, OFAC, геоблок, PEP/Adverse Media, логи и эскалации.
Suspicious activity report (SAR) процедура: триггеры, сроки, взаимодействие с банком‑эквайером.
Beneficial ownership disclosure и UBO требования: прозрачность владения и источников средств.
legal opinion для cross‑border acquiring: когда требуется и какие вопросы закрывает.

Команда COREDO сопровождала финтех‑компанию в Великобритании: мы синхронизировали AML‑сценарии TRA с санкционным контролем и формализовали SAR‑процедуры. Это упростило общение с банком и ускорило согласование повышенных лимитов транзакций.

Таймлайн аккредитации: аудит/remediation

Чтобы укладываться в сроки, нужен управляемый график и четкий контроль исполнения.

Сроки и этапы сертификации у платежных схем: подготовка, тестирование, пилот, продакшн‑аккредитация, пост‑go‑live наблюдение.
аудит соответствия и роль QSA: ежегодная оценка, pentest, ASV‑сканы, устранение уязвимостей.
Accreditation timeline и контрольный лист шагов: артефакты, демо, результаты UAT, подтверждения схем.
Remediation roadmap после non‑compliance: приостановка функций, корректирующие меры, доказательная база.

В одном проекте для PSP из ЕС мы построили roadmap с буфером под ASV‑ремедиацию и согласовали его с эквайером заранее. Это позволило не выйти за дедлайн go‑live, несмотря на найденные уязвимости на раннем этапе.

Экономика соответствия: ROI и метрики

Card scheme compliance: это инвестиция. Ее нужно измерять.

Оценка ROI при внедрении соответствия требованиям: сравнение штрафов/утечек/чарджбэков vs. стоимость 3DS, P2PE, токенизации и QSA.
Cost‑benefit analysis внедрения 3DS и P2PE: снижение фрода и сдвиг ответственности vs. трение в UX и инвестиции в терминалы.
Metrics для оценки ROI соответствия (NPS, ARPU, LTV) интегрируй естественно: влияние на retention, одобряемость, снижение опексов на поддержку.
Vendor management и contractual indemnity clauses: редукция хвостовых рисков в деньгах.

В кейсе для маркетплейса в Эстонии мы просчитали экономику перехода на 3DS 2.2 с динамическим RBA: рост конверсии на 1,7 п.п. при снижении чарджбэков на 38% в рисковых сегментах дал положительный ROI за 4,5 месяца.

Технические детали интеграции

Завершающий блок, о том, как запустить интеграцию без повторных циклов согласований.

Technical integration checklist API, webhooks, callbacks: идемпотентность, ретраи, подписи, мониторинг, алерты.
ISO 8583 профиль сообщений и тестирование: корректные коды ответов, reversals, chargeback reason codes.
Sandbox тестирование с окружениями схем и эквайера: тест‑кейсы на ошибки, оффлайны, AAA‑сценарии.
Cross‑border processing ограничения и правила: локализация полей, маршрутизация и fallback.

В проекте для форекс‑брокера в ЕС команда COREDO реализовала ISO 8583‑адаптер с нормализацией кодов и fallback на вторичный процессор. В результате SLA авторизации выдержан даже при аномальной нагрузке в рыночные пики.

Как ускорить и не потерять качество

Я соберу финальные советы, которые системно повышают шансы на гладкую аккредитацию и выгодную экономику:

С самого начала зафиксируйте с эквайером MCC, model risk, SCA‑флоу и санкционный контроль. Это основа underwriting и честной цены interchange++.
Минимизируйте PCI‑scope: hosted payment page + токенизация у сертифицированного TSP часто окупают себя быстрее, чем «собственный сейф».
На онлайн‑канале используйте 3DS 2.x с risk‑based authentication и динамическими правилами; на офлайне: P2PE и EMV‑совместимость.
Формализуйте AML/KYC/KYB и санкционный мониторинг: пороги, сценарии, SAR, аудит и логи. Это ускоряет аккредитацию мерчанта у card scheme.
Проработайте договорную часть: indemnities, распределение ответственности за фрод, escrow/rolling reserve, settlement periods, DCC‑политику.
Постройте incident response план с forensic data capture требованиями и процедурами уведомления схем/регуляторов в нужные сроки.
Закройте вопросы data localization и трансграничной передачи платежных данных: это частая причина затяжек в ЕС и отдельных странах Азии.
Используйте метрики ROI: NPS, ARPU, LTV, chargeback ratio, авторизационная конверсия, TCO на комплаенс. Так легче обосновать инвестиции совету директоров.
Проверяйте совместимость с мобильными кошельками и card scheme rules заранее, включая выбор token service provider.
Планируйте operational resilience в духе DORA: резервирование, регулярные тесты, RTO/RPO, внешние зависимости и vendor management.

Card scheme compliance что важно знать бизнесу, он не сводится к одной «галочке» PCI или к включению 3DS. Это система управленческих, юридических и технических решений, где каждая часть поддерживает другую.

Кейсы COREDO — коротко о подходе

EU e‑commerce: migration на SAQ A + 3DS 2.2 с frictionless для low‑risk, TRA под PSD2, снижение чарджбэков на 30% и ускорение settlement на 1 день за счет лучшего MCC и interchange++.
Сингапурский маркетплейс: единый sanctions screening и AML‑сценарии, подтвержденные эквайером; ускоренная аккредитация и рост лимитов.
Дубайский мерчант: RBA + device fingerprinting + adaptive 3DS; chargeback ratio стабильно ниже порога схем, rolling reserve снижен.
Кипрский финтех: vendor risk assessment, indemnity clauses и страховое покрытие; безопасный BIN sponsoring и устойчивость к инцидентам.

Каждый из этих проектов мы шли как партнер: от регуляторной экспертизы до финального UAT и запуска в продуктив с отчетностью для схем.

Выводы

Card scheme compliance — это фундамент платежной операции в международном масштабе. Он определяет, какую экономику вы получите завтра, сможете ли подключиться к новым рынкам без паузы, и насколько уверенно пройдете аудит схем или регулятора. Моя команда в COREDO привыкла рассматривать этот контур как единый продукт: юридический дизайн, AML/KYB/KYC, санкционный контроль, PCI DSS и 3DS, архитектура токенизации, договорная база, reconciliation и incident response.

Если упростить, путь выглядит так:

Четкий onboarding‑чек‑лист, выверенная архитектура под минимальный PCI‑scope, дисциплина AML и санкций, продуманная антифрод‑модель, прозрачные расчеты и SLA с партнерами, плюс готовность к инцидентам и постоянное улучшение.
Когда эти элементы собираются в единую систему, card scheme compliance перестает быть затратной статьей и превращается в конкурентное преимущество.

Практика COREDO подтверждает: с правильной стратегией и управляемым исполнением вы подключитесь к платежной системе без лишних кругов, пройдете аккредитацию мерчанта у card scheme в прогнозные сроки и построите масштабируемый платежный контур, который поддержит рост вашего бизнеса в ЕС, Азии и за их пределами.