Интернет-магазин: https://медтехритейл.рф
Владелец (Оператор): Индивидуальный предприниматель Кабанов А.О.
Дата составления: 26 февраля 2026 г.

1. Термины и определения
1.1. В настоящем документе используются следующие основные понятия:
Конфиденциальная информация Плательщика — персональные данные, а также сведения о платежных средствах (в том числе данные банковской карты: PAN, срок действия, имя держателя, CVV/CVC-код), которые Плательщик предоставляет для совершения покупки.
Плательщик — Покупатель (физическое лицо), осуществляющий оплату Товара безналичным способом.
Передача информации по каналам связи — процесс отправки конфиденциальных данных от Плательщика к Продавцу или платежному партнеру с использованием сети Интернет.
Платежный партнер (Эквайер) — АО «ТБанк», организация, предоставляющая технологию для приема и обработки платежей по банковным картам и соответствующая требованиям PCI DSS.
Шифрование (Encryption) — процесс преобразования информации с целью сделать ее нечитаемой для третьих лиц, не имеющих ключа для расшифровки.
Протокол HTTPS (TLS) — защищенный протокол передачи данных, обеспечивающий шифрование трафика между браузером Плательщика и сервером.

2. Общие положения
2.1. Настоящий документ определяет процедуры и технические меры, применяемые Владельцем интернет-магазина медтехритейл.рф, для обеспечения безопасной передачи конфиденциальной информации Плательщиков.
2.2. Политика разработана в соответствии с требованиями:

• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Стандарта безопасности данных индустрии платежных карт (PCI DSS версии 4.0.1);
• Рекомендациями Центрального Банка РФ в области информационной безопасности.

2.3. Ответственность за обеспечение безопасности передачи данных распределена следующим образом:

• Владелец сайта (ИП Кабанов А.О.) — организует инфраструктуру приема платежей с использованием сертифицированного платежного партнера и несет ответственность за соблюдение законодательства РФ.
• Технический оператор (ООО «Тilda») — обеспечивает шифрование каналов связи на уровне хостинга и платформы.
• Платежный партнер (АО «ТБанк») — обрабатывает платежные транзакции и несет ответственность за сохранность данных карт в соответствии со стандартом PCI DSS.

2.4. Настоящий документ является специализированным и дополняет документ «Разъяснение о политике информационной безопасности, применяемой в Интернет-магазине»
 медтехритейл.рф/legal_information, в котором подробно описаны общие принципы защиты информации, роль технического оператора ООО «Тильда» и меры по защите персональных данных.

3. Организация процесса передачи платежных данных
3.1. Принцип минимизации данных
В соответствии с требованиями PCI DSS, Владелец сайта минимизирует сбор и хранение конфиденциальной информации. Сайт никогда не получает и не хранит:

• полный номер банковской карты (PAN);
• срок действия карты;
• CVV/CVC-код.

3.2. Маршрутизация платежа (Redirect-схема)
В интернет-магазине реализована наиболее безопасная схема обработки платежей — с редиректом (перенаправлением) на платежную страницу партнера.
Процедура передачи данных выглядит следующим образом:

1. Этап 1: Покупатель оформляет заказ на сайте медтехритейл.рф и выбирает оплату банковской картой.
2. Этап 2: Сайт передает платежному партнеру (АО «ТБанк») только минимально необходимую информацию о заказе (сумма, номер заказа, валюта). Передача осуществляется по защищенному каналу с шифрованием TLS.
3. Этап 3: Покупатель перенаправляется на защищенную платежную страницу АО «ТБанк», размещенную на домене банка.
4. Этап 4: Ввод платежных данных (номер карты, срок действия, CVV, имя держателя) осуществляется исключительно на стороне банка. Сайт магазина не имеет доступа к этим данным.
5. Этап 5: После завершения оплаты платежный шлюз возвращает Покупателя на сайт магазина с подтверждением статуса транзакции.
6. Этап 6: Покупатель информируется о результате оплаты и статусе заказа.

Преимущества данной схемы:

• Конфиденциальная информация Плательщика не передается через серверы магазина и не хранится на них.
• Ввод данных происходит в инфраструктуре банка, соответствующей высшему уровню безопасности PCI DSS Level 1.
• Риск перехвата данных при передаче сведен к нулю, так как карточные данные не покидают защищенный периметр банка.

4. Технические меры защиты каналов связи
4.1. Шифрование трафика (HTTPS/TLS)
Вся передача данных между Покупателем и Сайтом осуществляется по защищенному протоколу HTTPS с использованием современных криптографических протоколов TLS 1.2/1.3 .

4.2. Защита от перехвата данных
Каналы связи, используемые для передачи любой информации, защищены от прослушивания и атак типа «человек посередине» (Man-in-the-Middle) благодаря:

• использованию современных протоколов шифрования;
• применению HSTS (HTTP Strict Transport Security), что заставляет браузеры взаимодействовать с сайтом только по HTTPS;
• размещению серверов в аттестованных центрах обработки данных (ЦОД) с физической защитой, обеспечиваемой техническим оператором.

4.3. Безопасность передачи данных платежному партнеру
Взаимодействие между сайтом и платежным шлюзом АО «ТБанк» осуществляется по защищенным каналам связи с использованием:

• протоколов шифрования TLS 1.2/1.3;
• цифровых подписей для аутентификации запросов (для подтверждения, что запрос на оплату отправлен именно нашим магазином);
• API-ключей, которые хранятся в зашифрованном виде и недоступны третьим лицам.

4.4. Обработка данных на платформе Tilda
Платформа Tilda, на которой размещен сайт, применяет следующие меры для защиты передаваемых данных:

• шифрование трафика на всех уровнях;
• защита от DDoS-атак с помощью решений Cloudflare;
• кэширование данных из форм обратной связи осуществляется на серверах в Европе с возможностью настройки срока хранения или немедленного удаления (что исключает несанкционированную передачу конфиденциальной информации).

5. Меры по защите от несанкционированного доступа к каналам связи
5.1. Управление доступом. Доступ к системам, через которые проходит информация Плательщиков, строго ограничен. Только уполномоченные лица Владельца сайта имеют доступ к панели администратора. Этот доступ защищен:

• сложными уникальными паролями;
• двухфакторной аутентификацией (2FA).

5.2. Мониторинг и журналирование. Технический оператор (ООО «Тильда») ведет непрерывный мониторинг подозрительной активности, включая круглосуточный мониторинг систем для раннего выявления и нейтрализации угроз.
5.3. Контроль целостности. Платформа Tilda применяет системы для обнаружения и предотвращения вторжений, а также для обеспечения целостности размещенных на сайте скриптов.

6. Информирование Плательщиков
6.1. Плательщик информируется о безопасной процедуре передачи данных следующими способами:

• наличием иконки «замочек» в адресной строке браузера, подтверждающей защищенное соединение;
• на странице оформления заказа размещена информация о том, что данные карты вводятся на защищенной странице банка и не передаются магазину;
• наличием настоящего публичного документа в открытом доступе.

7. Ответственность за нарушение безопасности передачи данных
7.1. Владелец сайта несет ответственность за реализацию описанных процедур безопасной передачи информации.
7.2. В случае инцидента, связанного с компрометацией каналов связи, Владелец сайта обязуется:

• незамедлительно принять меры для устранения угрозы;
• уведомить заинтересованные стороны (Плательщиков, уполномоченные органы, платежного партнера) в порядке и сроки, установленные законодательством РФ.

8. Заключительные положения
8.1. Настоящий документ является публичным и размещен по адресу: 
медтехритейл.рф/legal_information
8.2. Владелец сайта вправе вносить изменения в процедуры безопасности, уведомляя об этом путем обновления текста документа.
8.3. По всем вопросам, связанным с безопасной передачей конфиденциальной информации, Плательщики могут обращаться по электронной почте: medtechretail@yandex.ru.

Реквизиты Владельца сайта:

Краткое описание процесса (для Плательщика)
Как мы защищаем ваши платежные данные:

1. Вы оформляете заказ на нашем сайте — вся информация передается по защищенному каналу (HTTPS).
2. Для оплаты вы переходите на страницу банка — данные вашей карты вводятся только на сайте Т-Банка.
3. Банк подтверждает оплату и возвращает вас на наш сайт.
4. Мы никогда не видим и не храним данные вашей карты.