Выпустить карту
%20cover%20(1).avif)
Соответствие требованиям для виртуальных карт в 2026 году вызывает путаницу по следующим причинам:
PCI DSS v4.0.1 стал действующим стандартом после 31 марта 2025 года.
%20RU.png)
Совет по стандартам безопасности PCI (PCI Security Standards Council) отмечает, что PCI DSS v4.0.1 представляет собой ограниченную ревизию версии v4.0 без новых или удалённых требований — только исправления, уточнения и обновлённые рекомендации.
Требования PCI DSS 4.0.1 стали единственной действующей версией после того, как PCI DSS v4.0 была выведена из обращения 31 декабря 2024 года, а новые требования с отложенным сроком вступления в силу из v4.0 стали обязательными 31 марта 2025 года. В библиотеке документов PCI SSC также перечислены PCI DSS v4.0.1 и документ «Сводка изменений от PCI DSS v4.0 к v4.0.1», что подтверждает: v4.0.1 — это действующий стандарт, а не отдельный свод правил с дополнительными обязательствами. В сводке KPMG также отмечается, что v4.0.1 не вводит новых требований. [1]
PCI DSS v4.0.1 не добавила новых требований — в основном были исправлены форматирование и опечатки, уточнён смысл некоторых требований и рекомендаций, а также обновлены сопроводительные формулировки. PCI SSC прямо указывает, что данная ограниченная ревизия не содержит дополнительных или удалённых требований.
Среди конкретных изменений в официальном обновлении можно выделить уточнения по:
Также были изменены приложения: образцы шаблонов для «индивидуализированного подхода» (customized approach) были удалены из самого стандарта и перенесены в раздел ресурсов на сайте PCI SSC. На практике v4.0.1 — это релиз-уточнение, а не новый режим соответствия. [2]
PCI DSS v4.0.1 теперь является действующей базовой версией, поэтому карточным платформам следует привести свои программы безопасности в соответствие с уточнёнными требованиями, а не ждать новой версии.
Для карточных платформ, попадающих в область применения PCI DSS — включая платформы виртуальных карт, токенизации и встроенной эмиссии — главное изменение заключается не в новых требованиях, а в необходимости продемонстрировать, что применимые механизмы контроля внедрены и эффективно работают. Аудиторы будут ожидать доказательств того, что требования с отложенным сроком, ставшие обязательными 31 марта 2025 года, реализованы и функционируют.
На практике это смещает акцент на контроль скриптов платёжных страниц, аутентификацию, управление уязвимостями, целевой анализ рисков и управление отношениями с поставщиками услуг. Для карточных платформ v4.0.1 снижает неоднозначность трактовки, но не уменьшает ни область применения, ни объём работы по соответствию требованиям.
Пакет законов ЕС по борьбе с отмыванием денег (AML) — это набор законодательных актов Евросоюза, принятых в 2024 году и призванных усилить и гармонизировать правила противодействия отмыванию денег (AML) и финансированию терроризма (CTF) во всех странах-членах ЕС. Вместо того чтобы каждая страна применяла существенно различающиеся правила, пакет создаёт более единообразную систему.
Регламент ЕС о противодействии отмыванию денег (AMLR) — это регламент прямого действия в рамках пакета AML ЕС, и он вступает в силу с 10 июля 2027 года. Он является частью более широкого реформенного пакета 2024 года, который также создал AMLA и заменил старую систему на основе директив единым сводом правил. [3]
Для провайдера AMLR имеет значение, если провайдер является «обязанным субъектом» (obliged entity) в рамках регуляторной системы ЕС, особенно в финансовом секторе и смежных видах деятельности повышенного риска. Свод правил расширяет охват на большее число секторов и ужесточает требования к комплексной проверке клиентов, проверке бенефициарных владельцев и мониторингу, поэтому компаниям следует рассматривать 2026 год как год подготовки, а не как год начала действия.
AMLD6 — это шестая директива ЕС по противодействию отмыванию денег, и, в отличие от AMLR, это директива, которую страны-члены должны имплементировать в национальное законодательство. В пакете AML 2024 года AMLD6 — это та часть, которая усиливает работу национальных надзорных органов, подразделений финансовой разведки (FIU) и международного сотрудничества, а не напрямую вводит единый свод правил на уровне ЕС. Она вступила в силу в 2024 году и должна быть имплементирована странами-членами не позднее 10 июля 2027 года. [4]
AMLA — это Управление ЕС по противодействию отмыванию денег: новое агентство ЕС во Франкфурте, которое координирует надзор в сфере AML/CFT, напрямую присматривает за некоторыми высокорисковыми трансграничными финансовыми организациями, поддерживает национальные органы и FIU, а также помогает разрабатывать технические стандарты и рекомендации. [5] AMLA начало работу летом 2025 года, но полные полномочия по прямому надзору будут введены поэтапно, а полноценный операционная работа ожидается в 2028 году.
В рамках регуляторной системы ЕС по AML обязанный субъект — это лицо или компания, которая должна применять меры контроля AML/CFT, такие как комплексная проверка клиентов, постоянный мониторинг и отчётность о подозрительной деятельности. На практике сюда входят банки, платёжные учреждения, учреждения электронных денег, поставщики криптоактивных услуг и многие другие финансовые и нефинансовые компании, подпадающие под действие правил AML.
Для карточных и платёжных платформ это означает, что эмитенты виртуальных карт, поставщики встроенных финансовых решений и программы карт, пополняемых криптовалютой, могут попадать под действие этих правил, если они осуществляют регулируемую финансовую деятельность. Если провайдер является обязанным субъектом, он должен уметь идентифицировать клиентов, при необходимости проверять бенефициарных владельцев, отслеживать транзакции и вести учёт в соответствии с применимыми правилами AML ЕС. Именно поэтому юридический статус провайдера имеет не меньшее значение, чем сам продукт.
MiCA (Регламент о рынках криптоактивов) устанавливает единый свод правил ЕС для криптоактивов, не охваченных другим финансовым законодательством ЕС, и создаёт гармонизированную систему авторизации и надзора для поставщиков криптоактивных услуг.
Согласно MiCA, ключевой вопрос при определении, подпадает ли программа под действие MiCA, заключается в том, осуществляет ли провайдер (или карточная операция) одну или несколько криптоактивных услуг, регулируемых как деятельность CASP (например, хранение/администрирование криптоактивов, обмен криптоактивов, исполнение поручений, размещение криптоактивов от имени других лиц и т.д.). В этом случае MiCA требует, чтобы такие регулируемые поставщики услуг работали в рамках системы авторизации/надзора CASP по MiCA, а не полагались только на национальное лицензирование. [6]
В MiCA авторизация CASP (поставщика криптоактивных услуг) связана с идеей о том, что провайдер должен обладать соответствующей системой управления/контроля рисков и соблюдать пруденциальные требования и требования по ведению деятельности, и такая авторизация выдаётся компетентным национальным органом в рамках раздела MiCA, посвящённого CASP.
На практике авторизация обычно требует продемонстрировать наличие адекватных внутренних механизмов контроля, процедур и мер, включая механизмы соответствия, связанные с требованиями AML/обязательствами CFT (применительно к виртуальным картам), прежде чем компания сможет работать в качестве CASP.
«Travel rule» («правило перемещения информации») происходит из Регламента ЕС о переводах средств (EU) 2023/1113, который пересматривает/расширяет обязательства по сбору и обеспечению доступности информации об отправителе/получателе для целей прослеживаемости. С точки зрения соответствия требованиям AML/CFT, travel rule применяется к переводам криптоактивов, осуществляемым через CASP, и призвано обеспечить возможность для властей восстанавливать цепочку транзакций в целях правоприменения и расследований.
В США компании, работающие с криптовалютой и платежами, чаще всего в первую очередь сталкиваются с правилами FinCEN в рамках Закона о банковской тайне (Bank Secrecy Act). FinCEN рассматривает многие платёжные и переводные компании как предприятия по оказанию денежных услуг (MSB — money services businesses), что означает необходимость регистрации, ведения программы AML и подачи отчётности по определённым видам деятельности. [7]
Правила FinCEN о предоплаченном доступе подводят определённые предоплаченные продукты под требования по противодействию отмыванию денег. Поставщики и продавцы продуктов с «предоплаченным доступом» сталкиваются с дополнительными требованиями по соответствию — однако продукты закрытого контура (используемые только у одного мерчанта или в одной сети) могут оставаться освобождёнными от этих требований при соблюдении лимитов FinCEN.
Один важный момент: если продукт закрытого контура перепродаётся или обменивается на вторичном рынке, само по себе это не превращает его в регулируемый продукт открытого контура. Перепродажа сама по себе не меняет его статус.
FinCEN указывает, что, за некоторыми исключениями, каждое предприятие по оказанию денежных услуг (MSB) должно зарегистрироваться в Министерстве финансов, подав форму FinCEN 107 в течение 180 дней после начала деятельности, а затем продлевать эту регистрацию каждые два года. FinCEN также требует хранить подтверждающие регистрационные документы на территории США в течение пяти лет. [8] В зависимости от вида деятельности сюда может входить денежный перевод, обмен валюты, обналичивание чеков и некоторые услуги предоплаченного доступа.
При этом федеральная регистрация — лишь один уровень требований. Многим MSB также требуются лицензии на денежные переводы на уровне штатов, поэтому компаниям часто приходится соблюдать как федеральные, так и региональные правила.
GENIUS Act — это федеральный законопроект Конгресса, устанавливающий систему регулирования платёжных стейблкоинов. Согласно резюме Конгресса, закон создаёт регулируемую систему для «разрешённых эмитентов», требует стопроцентного резервирования наличными или аналогично ликвидными активами, ежемесячного раскрытия информации о резервах и распространяет на эмитентов действие Закона о банковской тайне. [9]
Белый дом также охарактеризовал этот закон как создание первой в истории федеральной системы регулирования стейблкоинов, включающей требования по резервированию и раскрытию информации, а также ограничения на маркетинг, направленные на предотвращение вводящих в заблуждение заявлений. Это делает регулирование стейблкоинов на федеральном уровне гораздо более чётким, чем раньше. [10]
%20RU.png)
Учитывая, насколько фрагментированы правила в 2026 году, правильные вопросы зависят от того, в какой области находится провайдер — PCI DSS, AML/MiCA ЕС или правила FinCEN в США. Вот что стоит спросить в каждой из этих областей.
Нет. PCI DSS v4.0.1 стал действующим стандартом после марта 2025 года, поэтому 2026 год не является новым годом с дедлайнами. Это просто первый полный год, в течение которого аудиторы применяют механизмы контроля, ставшие обязательными 31 марта 2025 года.
Регламент ЕС о противодействии отмыванию денег (AMLR) становится напрямую применимым во всех странах-членах ЕС 10 июля 2027 года. Поскольку этот единый свод правил вводит значительно более строгие требования по соответствию, затронутым компаниям и обязанным субъектам следует использовать 2026 год как основной переходный период и период подготовки, чтобы обеспечить полную готовность.
AMLA — это Управление по противодействию отмыванию денег ЕС. Надзирает ли оно за вашим провайдером, зависит от того, кем является провайдер и где он работает. AMLA будет напрямую надзирать только за отдельными высокорисковыми обязанными субъектами в финансовом секторе; у него также есть косвенная/координационная роль в отношении других финансовых и нефинансовых субъектов, но большинство компаний по-прежнему будут находиться под надзором национального компетентного органа, а не AMLA.
Если ваш провайдер — это международный высокорисковый финансовый субъект, AMLA может осуществлять прямой надзор за ним.
Если это локальный или менее рисковый провайдер, надзор, как правило, останется за национальным надзорным органом по AML/CFT, а AMLA будет устанавливать общую систему и координацию на уровне ЕС.
Да, переходное окно для поставщиков криптоактивных услуг (CASP) в рамках Регламента о рынках криптоактивов (MiCA) официально завершилось 1 июля 2026 года.
Когда виртуальная карта пополняется криптовалютой, сам процесс первоначального пополнения подпадает под регулирование соответствия требованиям для криптокарт (в частности, под travel rule), если он квалифицируется как регулируемый перевод цифровых активов. Однако после того, как криптовалюта зачислена на карту, фактические покупки по карте регулируются стандартными правилами платёжной карточной индустрии. [11]
В США провайдеры виртуальных карт, как правило, подпадают под систему Закона о банковской тайне FinCEN. FinCEN рассматривает многие платёжные компании как предприятия по оказанию денежных услуг (MSB), что означает необходимость регистрации в Министерстве финансов, ведения программы AML и подачи отчётности по определённым видам деятельности.
Если провайдер предлагает продукты предоплаченного доступа, правило FinCEN о предоплаченном доступе может добавить дополнительные обязательства — хотя продукты закрытого контура (используемые только у одного мерчанта или в одной сети) могут оставаться освобождёнными от них при соблюдении лимитов FinCEN. Обратите внимание, что перепродажа продукта закрытого контура на вторичном рынке сама по себе не превращает его в регулируемый продукт открытого контура.
Если программа пополняется стейблкоинами, эмитенты теперь также подпадают под действие GENIUS Act, который распространяет требования Закона о банковской тайне на «разрешённых эмитентов» наряду с требованиями по резервированию и раскрытию информации.
Сосредоточьтесь на пяти областях — статус PCI DSS для виртуальных карт, токенизация, мониторинг карточных сетей, поддержка аудита и область применения API:
Соответствие требованиям не должно быть игрой в угадайку. Провайдер, который идёт в ногу со всеми изменениями в регулировании виртуальных карт в 2026 году, включая PCI DSS, VAMP, MiCA и изменения FinCEN, — это тот, кому можно доверить свои расходы. Свяжитесь с отделом продаж, чтобы узнать, как Finup остаётся впереди этих изменений.

Выбирайте виртуальные карты под любые потребности и упрощайте финансовые операции.