Безопасность платежей

Как мы защищаем ваши данные, платежи и Apple ID. Без маркетинговых формулировок — только конкретные технические меры.

Последнее обновление: 23 апреля 2026 Версия документа: 2.0 Язык: русский

Коротко о главном

  • SSL/TLS 1.3: рейтинг A+ по Qualys SSL Labs.
  • PCI DSS Level 1 у платёжного провайдера — не храним карты.
  • Не запрашиваем пароль Apple ID — никогда, ни при каких обстоятельствах.
  • Anti-fraud: rate-limit, поведенческий анализ, мониторинг.
  • Compliance: GDPR, 152-ФЗ РФ, CCPA.

1SSL/TLS шифрование

Все страницы AppleHub.live — включая главную, каталог, оформление заказа и личный интерфейс заказа — работают только по HTTPS с современным шифрованием.

  • Протокол: TLS 1.3 (устаревшие TLS 1.0/1.1 отключены).
  • Набор шифров: только ECDHE с AEAD (AES-GCM, ChaCha20-Poly1305).
  • HSTS (Strict-Transport-Security) с preload — защита от downgrade-атак.
  • Рейтинг Qualys SSL Labs: A+.
  • Сертификат обновляется автоматически с тройным резервированием.

2PCI DSS compliance

Мы не обрабатываем данные банковских карт напрямую — это делают сертифицированные платёжные провайдеры с уровнем PCI DSS Level 1 (высший уровень соответствия индустрии платёжных карт).

Практически это значит:

  • номер вашей карты, CVC и срок действия никогда не попадают на серверы AppleHub.live;
  • при оплате через СБП данные передаются в мобильном приложении вашего банка, минуя нас;
  • в нашей базе хранятся только идентификаторы транзакций и статусы оплаты.

3Мы не храним данные ваших карт

Это не декларация — это следствие технической архитектуры сервиса. Мы физически не получаем:

  • номер карты (PAN);
  • CVC/CVV;
  • срок действия карты;
  • имя держателя карты на латинице;
  • трек-данные магнитной полосы или чипа.

Всё, что у нас есть — идентификатор транзакции от платёжного провайдера и факт её успеха/неуспеха.

4Защита персональных данных

Обработка персональных данных регулируется отдельным документом — Политикой конфиденциальности. Ключевые принципы:

  • минимизация: собираем только email и данные заказа;
  • шифрование данных «at rest» в базе;
  • ограничение доступа: только по принципу минимально необходимого;
  • логирование всех критичных операций с данными;
  • процедура удаления по запросу пользователя (GDPR, CCPA).

5Мы НИКОГДА не запрашиваем пароль Apple ID

Это жирным и заглавными буквами, потому что это ключевой маркер мошенничества.

  • Для покупки и активации Apple Gift Card пароль Apple ID не требуется никому, кроме вас самого.
  • Активация кода происходит только в вашем устройстве, через официальное приложение App Store.
  • Никакой сервис, включая нас, не может «помочь» с активацией, если для этого просит пароль или код двухфакторной аутентификации.

Если любой «сервис» просит вас передать пароль Apple ID или код из SMS/Authenticator — это мошенничество. Прекратите общение и обратитесь в Apple Support.

6Двухфакторная верификация заказа

Для защиты от «подставных» заказов и ошибок ввода email мы используем двухфакторную верификацию:

  1. Email-письмо с подтверждением заказа приходит сразу после оформления — ещё до оплаты.
  2. Ссылка на заказ доступна только по криптографическому токену (в URL), подобрать его невозможно.
  3. Код активации отправляется после успешного платежа — и на email, и в интерфейс заказа, чтобы продублировать канал.

7Anti-fraud система

Для защиты клиентов и сервиса мы используем многоуровневую защиту от фрода:

  • rate-limiting по IP и сессии для защиты от автоматизированных атак;
  • поведенческий анализ заказов (паттерны, нехарактерные скорости переходов);
  • проверка email на принадлежность к временным/одноразовым доменам;
  • мониторинг повторных попыток оплаты по разным картам;
  • ручная проверка подозрительных заказов службой безопасности.

8Что делать при подозрительной активности

Если вы заметили что-то странное — сработал аларм на карте, появился заказ, который вы не делали, или пришло подозрительное письмо «от AppleHub»:

  1. Не переходите по ссылкам из подозрительного письма.
  2. Напишите на security@applehub.live или support@applehub.live с темой «Подозрительная активность».
  3. Проверьте, что письмо действительно с домена @applehub.live, а не подделки вроде @applehub-live.com.
  4. При возможном компрометации email — смените пароль, включите двухфакторную аутентификацию.

9Сертификаты и compliance

Стандарт / ОценкаУровень / ЗначениеЧто это покрывает
Qualys SSL LabsA+Качество SSL/TLS конфигурации
Mozilla ObservatoryA+HTTP-заголовки безопасности (CSP, HSTS, X-Frame-Options)
PCI DSS (через провайдера)Level 1Обработка платежей
GDPRСоответствиеПрава пользователей ЕЭЗ
152-ФЗ РФСоответствиеПерсональные данные в РФ
CCPA / CPRAСоответствиеПрава резидентов Калифорнии

10Что мы не запрашиваем

AppleHub.live не запрашивает пароль Apple ID, одноразовые коды двухфакторной аутентификации, доступ к почте, доступ к устройству или данные банковской карты в переписке. Для покупки цифрового кода достаточно выбрать регион и номинал, указать email для доставки, оплатить заказ и активировать код самостоятельно в интерфейсе Apple.

Если поддержке нужно разобраться в ошибке, она просит только безопасные данные: номер заказа, email из заказа, скриншот сообщения Apple и, при необходимости, платёжный идентификатор. Такой подход снижает риск социальной инженерии и помогает клиенту сохранить контроль над Apple ID на всех этапах покупки и активации.