🧾 Персональные данные и платежи: как защитить клиентскую информацию в интернет-магазине на Bitrix

Конкретные меры для владельца: минимизировать сбор, ограничить доступ, шифровать и логировать. Без «больших слов», только управляемые шаги.

1) Собирайте только то, что нужно

• Пересмотрите формы: уберите лишние поля (отчество, дата рождения, если не требуется).
• Разделите обязательные и необязательные поля, объясните, зачем данные нужны.
• Определите срок хранения данных и включите авто-очистку устаревших записей (архивация/анонимизация).

2) Не храните данные карт у себя

• Используйте платёжного провайдера с токенизацией; перенаправление/виджеты без ввода карты на вашем домене.
• Отключите/удалите любые механизмы сохранения PAN/CVV в БД/логах/письмах.
• Проверьте вебхуки от PSP: подпись, allowlist IP, отдельный ключ, таймауты и ретраи.

3) Шифрование и защита данных

• TLS 1.2+/1.3; запретите слабые шифры; включите HSTS.
• Шифруйте бэкапы и выгрузки (CSV/XLSX) с персональными данными.
• Секреты (API-ключи/пароли) храните в переменных окружения или менеджере секретов, не в файлах проекта.

4) Контроль доступа и журналирование

• Гранулируйте роли: кто может видеть/экспортировать PII (имя, телефон, адрес), кто — нет.
• Включите аудит: лог чтения/выгрузки клиентских данных; оповещения при массовых экспортных операциях.
• Регулярно пересматривайте группы и убирайте доступ у бывших сотрудников/подрядчиков.

5) Почта, чаты и интеграции

• Не отправляйте полные данные карт/пароли по email. Маскируйте номер телефона/адрес в уведомлениях.
• Проверьте, какие поля утекают в CRM/чат/таблицы. Обрезайте лишнее на уровне интеграции.
• Ключи интеграций держите отдельно для теста/прода. Отключите тестовые вебхуки в проде.

6) Инциденты: готовность к «если что»

• Опишите план: кто отвечает, как отрезаем скомпрометированные ключи, как уведомляем клиентов.
• Роли и контакты на случай 24/7: хостинг, домен, платёжный провайдер, разработчик.
• Минимум раз в год проведите учебный «сухой прогон» (table-top exercise).

Проверочный чек-лист