Сигурност на ePay.bg при залагания: PCI DSS, двуфакторна защита и криптиране

Редакция «Epay.bg Залагания» май 8, 2026 Време за четене: 16 мин

През 2024 година НАП спря достъпа до над 2500 нелегални хазартни сайта в България. Зад всеки един от тях стоят потребители, които са депозирали пари без никаква защита — без криптиране, без верификация, без гаранция, че ще си получат печалбите обратно. Когато някой ме пита дали ePay.bg е сигурен за залагания, аз задавам насрещен въпрос: в сравнение с какво?

В сравнение с директно плащане с карта в непознат сайт, ePay е несравнимо по-сигурен. В сравнение с банков превод — по-бърз, без да жертва защита. В сравнение с международни e-wallets — по-тясно интегриран с българската банкова инфраструктура. В тази статия ще разгледам конкретните технически механизми, които правят ePay.bg надежден посредник при онлайн залагания. Не общи приказки за „сигурност“ — а конкретни стандарти, сертификации и процедури, които стоят зад всяка транзакция.

Девет години работя с платежни системи за онлайн залагания и мога да кажа, че сигурността е темата, по която повечето хора или нехаят напълно, или се тревожат без причина. Истината е някъде по средата — ePay.bg предлага солидна защита, но тя работи оптимално само когато потребителят знае как да се възползва от нея.

PCI DSS Level 1 сертификация на ePay.bg

Когато започнах да работя в областта на платежните системи преди девет години, PCI DSS беше термин, който познаваха само специалистите. Днес е различно — всеки, който обработва картови данни онлайн, трябва да го познава. И все пак, когато попитам потребители какво означава PCI DSS, девет от десет не знаят. А това е стандартът, който държи парите им в безопасност.

PCI DSS означава Payment Card Industry Data Security Standard — стандарт за сигурност на данните в индустрията за картови плащания. Създаден е от Visa, Mastercard, American Express, Discover и JCB и се прилага в над 200 страни по света. Level 1 е най-високото ниво на сертификация — то се изисква от компании, които обработват над 6 милиона картови транзакции годишно. ePay.bg притежава тази сертификация.

Какво означава това на практика? Означава, че ePay минава през годишен одит от независима сертифицирана организация, която проверява стотици контролни точки — от начина, по който се съхраняват картови данни, до физическата сигурност на сървърите. Означава, че картовите ви данни се криптират при въвеждане и остават криптирани по време на обработка. Означава, че ePay не съхранява пълния номер на картата ви в четим формат.

ePay.bg съществува от 1999 година — над 25 години в българския пазар за онлайн плащания. За компания, която обработва платежни данни толкова дълго, поддържането на PCI DSS Level 1 не е лукс, а задължение. Без тази сертификация Visa и Mastercard просто не биха разрешили на ePay да обработва транзакции с техните карти. Така че когато плащате с карта през ePay, можете да бъдете сигурни, че данните ви са защитени на ниво, одобрено от самите картови мрежи.

Сравнение: когато плащате директно с карта на сайта на букмейкър (без ePay), данните ви се обработват от платежния процесор на букмейкъра. Този процесор може да има PCI DSS сертификация, но може и да няма. С ePay знаете какво получавате — сертифициран посредник, който поема отговорността за сигурността на картовите данни.

Има и практическа полза от PCI DSS, за която рядко се говори: отговорността при пробив. Ако данните ви бъдат откраднати от PCI DSS сертифициран обработчик, компанията носи финансова и правна отговорност. При несертифициран обработчик — отговорността е значително по-неясна. Като потребител, вие не трябва да мислите за тези детайли, но е добре да знаете, че зад сертификацията стои реална юридическа защита.

Ролята на БОРИКА при ePay транзакции

БОРИКА е името, което стои зад всяко картово плащане в България, и повечето хора дори не знаят, че съществува. Когато правите депозит с карта през ePay, транзакцията минава през инфраструктурата на БОРИКА — националния картов оператор, който свързва българските банки с международните картови мрежи.

БОРИКА обработва и авторизира транзакцията — проверява дали картата е валидна, дали има достатъчно средства, дали транзакцията не е маркирана като подозрителна. Целият процес отнема секунди, но зад него стои сложна инфраструктура за мониторинг на измами. Ако картата ви е компрометирана и някой се опита да я използва от непознато устройство, БОРИКА може да блокира транзакцията автоматично.

Практическият ефект за вас е следният: когато плащате през ePay, имате двоен слой на защита. Първо, ePay проверява транзакцията от своя страна (PCI DSS, двуфакторна автентикация). Второ, БОРИКА проверява транзакцията от страна на банковата инфраструктура. Двете системи работят заедно и взаимно се допълват. Това е като да имате две ключалки на вратата вместо една — и двете трябва да бъдат „отключени“, за да мине плащането.

Тази интеграция с БОРИКА е нещо, което международните e-wallets като Skrill или Neteller нямат. Те работят през собствени процесори, базирани извън България, и нямат директна връзка с българската банкова инфраструктура. Не казвам, че са по-малко сигурни — просто ePay има допълнителния слой на локалната банкова мрежа, което е предимство за транзакции в лева.

БОРИКА също управлява 3D Secure протокола за онлайн картови плащания в България. Когато банката ви поиска допълнително потвърждение на транзакцията — парола, биометрия или код — това минава през инфраструктурата на БОРИКА. При плащане през ePay тази стъпка се комбинира с SMS верификацията на ePay, създавайки тройна защита: нещо, което знаете (парола на ePay), нещо, което имате (телефон за SMS код) и банкова автентикация през БОРИКА. Три независими бариери пред всяка неоторизирана транзакция.

Двуфакторна автентикация и SMS верификация

Телефонът ви звъни, пристига SMS с шестцифрен код, въвеждате го — транзакцията минава. Този 3-секунден ритуал е двуфакторна автентикация (2FA) и е може би най-важният защитен механизъм, който ePay предлага. Без него дори някой, който знае паролата ви, не може да направи плащане.

Как работи на техническо ниво: когато инициирате транзакция, ePay изпраща уникален код до мобилния номер, регистриран в акаунта ви. Кодът е валиден за ограничено време (обикновено 3-5 минути) и може да се използва само веднъж. Дори ако някой прихване кода по пътя, той вече няма да бъде валиден за следваща транзакция.

През последните години забелязвам тенденция към преминаване от SMS базирана 2FA към приложения за автентикация (authenticator apps). SMS-ите имат теоретична уязвимост — техника, наречена SIM swapping, при която измамник убеждава мобилния оператор да прехвърли номера ви на нова SIM карта. Това е рядко и сложно за изпълнение, но е реален риск. Ако ePay предложи автентикация чрез приложение в бъдеще, препоръчвам да я активирате веднага.

Засега SMS верификацията е стандартът и работи надеждно в огромното мнозинство от случаите. Ако искате да повишите сигурността допълнително, направете следното: задайте PIN код или пръстов отпечатък за SIM картата си, за да предотвратите неоторизиран достъп до SMS-ите при откраднат телефон. Активирайте известия от банката за всяка транзакция, за да видите веднага, ако нещо нередно се случи. Никога не споделяйте SMS кодовете с никого — ePay никога няма да ви ги поиска по телефона или по имейл.

Една ситуация, в която 2FA ви спасява: фишинг. Получавате имейл, който изглежда като от ePay, с линк към фалшив сайт. Въвеждате имейл и парола (грешка, но се случва). Измамникът получава данните ви, но не може да направи плащане, защото няма достъп до SMS кода на телефона ви. Парите ви остават на място. Двуфакторната автентикация не е перфектна, но е разликата между загубен акаунт и загубени пари.

За тези, които се притесняват от сигурността на SMS кодовете: рискът от SIM swapping е реален, но в България е значително по-нисък, отколкото в САЩ например. Българските мобилни оператори изискват физическо присъствие с лична карта за смяна на SIM карта, което прави атаката трудна за осъществяване. Това не е причина да не бъдете бдителни, но е причина да не изпадате в паника при всяко споменаване на темата.

SSL криптиране и защита на данни

Ангел Ирибозов, председател на АИИБ, е обръщал внимание, че новите технологии и изкуственият интелект дават възможности за защита на играчите в различните сфери на игралната индустрия. SSL криптирането е една от тези технологии, макар че не е нова — използва се от средата на 90-те години.

SSL (Secure Sockets Layer) — или по-точно неговият наследник TLS (Transport Layer Security) — е протоколът, който криптира комуникацията между вашия браузър и сървъра на ePay. Когато видите катинарче в адресната лента на браузъра и URL адресът започва с „https://“, означава, че връзката е криптирана. Всяка информация, която изпращате — имейл, парола, картови данни — е шифрована и не може да бъде прочетена от трета страна, дори ако прихване трафика.

На практика, ePay.bg използва 256-битово криптиране, което е текущият стандарт за финансови институции. За да дешифрирате такъв код с днешните компютри, ще ви трябват милиарди години. Това е същото ниво на криптиране, което използват банките, правителствените институции и военните организации.

Къде SSL криптирането не помага: ако въведете данните си на фалшив сайт, който имитира ePay. Фалшивият сайт също може да има SSL сертификат (те се издават лесно), така че катинарчето само по себе си не е гаранция за легитимност. Проверявайте URL адреса внимателно — epay.bg (без допълнителни букви или символи преди или след) е единственият легитимен адрес.

Още един практичен съвет: ако достъпвате ePay от обществена Wi-Fi мрежа (кафене, летище, хотел), SSL криптирането ви защитава от прихващане на данните в мрежата. Но по-сигурният подход е да избягвате финансови операции от обществен Wi-Fi изобщо. Ако нямате избор, използвайте мобилните данни на телефона си вместо Wi-Fi — собствената ви клетъчна връзка е значително по-трудна за компрометиране.

Защо ePay работи само с лицензирани оператори

В България към септември 2025 година оперират 26 онлайн организатора с общо 53 лиценза. НАП е спряла над 2500 нелегални сайта през 2024 година — петдесет пъти повече от легалните оператори. Тази статистика казва нещо важно за мащаба на проблема.

ePay.bg работи само с оператори, които притежават валиден лиценз от Държавната комисия по хазарта (ДКХ), чиито функции сега се изпълняват от НАП. Това не е маркетингово решение, а регулаторно изискване. Платежните системи, обработващи хазартни транзакции, са задължени да проверяват лицензионния статус на получателя, преди да обработят плащане.

Какво означава това за вас? Ако можете да направите депозит чрез ePay.bg при даден букмейкър, този букмейкър е лицензиран. ePay действа като филтър — не физически (нямат полиция), а финансово. Нелицензиран оператор просто не може да приема плащания през ePay, защото ePay няма да му предостави достъп до платежната си инфраструктура.

Това не означава, че всеки лицензиран букмейкър е перфектен. Лицензът гарантира, че операторът отговаря на минимални стандарти за защита на потребителите, справедливост на игрите и финансова стабилност. Но лицензът не гарантира, че ще печелите, че обслужването ще бъде бързо или че условията ще бъдат винаги в ваша полза. Лицензът е базова линия на сигурност, не стандарт за съвършенство.

Как ePay проверява лицензите? Системата поддържа списък на одобрени търговци (merchant whitelist), който се актуализира съобразно решенията на регулатора. Ако лицензът на даден оператор бъде отнет или спрян, ePay преустановява обработката на плащания към него. Това се случва автоматично и без намесата на потребителя — просто ще видите, че ePay вече не е достъпен като метод за плащане при този букмейкър.

Интересна подробност: инвестиционният праг за получаване на хазартен лиценз в България беше повишен от 255 645 евро на 383 468 евро. Тази промяна означава, че само сериозни компании с достатъчен финансов ресурс могат да оперират легално. За потребителя това е косвена гаранция — лицензираните оператори имат достатъчно ресурси, за да обработват тегления и да поддържат стандартите за сигурност.

Рискове при залагания без ePay: нелицензирани сайтове

До 40% от хазартния пазар в България е в сивата зона — нелегални сайтове, които оперират без лиценз и без контрол. Ангел Ирибозов е категоричен по темата: нелегалните сайтове не предлагат никаква защита за потребителите и не спазват политики за отговорна игра, а потребителите рискуват да загубят средства и да станат жертва на кибер заплахи. За повече информация вижте анализа за нелегалния хазарт и ролята на ePay.

Какво се случва, когато депозирате в нелицензиран сайт? Парите ви отиват към сметка, която не подлежи на регулация в България. Ако сайтът реши да не изплати печалбата ви, нямате към кого да се обърнете. НАП не може да помогне, защото операторът не е в тяхната юрисдикция. Банката ви може да опита chargeback (оспорване на транзакцията), но успехът е несигурен.

Рисковете не са само финансови. Нелицензираните сайтове нямат задължение да защитават личните ви данни. Имейл, парола, картови данни, ЕГН — всичко, което сте предоставили при регистрация, може да бъде продадено или използвано за измами. Нямат и задължение да използват SSL криптиране, PCI DSS стандарти или двуфакторна автентикация. Практически, плащате на непознат без никаква гаранция.

Затова ePay.bg е не просто удобство, а защитен механизъм. Когато плащате през ePay, знаете, че получателят е лицензиран оператор. Знаете, че транзакцията е криптирана и защитена. Знаете, че имате SMS верификация срещу неоторизиран достъп. Нито едно от тези неща не е гарантирано при директно плащане в нелицензиран сайт.

Как да разпознаете нелицензиран сайт? Проверете дали сайтът има логото на ДКХ/НАП и лицензен номер в долната част на страницата. Потърсете оператора в официалния регистър на НАП за лицензирани хазартни оператори. Ако ePay не е достъпен като метод за плащане, а сайтът приема само криптовалути или анонимни методи — това е сериозен червен флаг. Легитимните оператори винаги предлагат познати, регулирани методи за плащане.

Нелегалните сайтове често примамват с нереалистично високи бонуси — 500% бонус при депозит например. Такива оферти не са възможни при законно оперираща компания, защото математиката просто не работи. Ако предложението изглежда прекалено добро, за да е истина — то почти сигурно не е истина. Придържайте се към операторите, при които можете да платите с ePay, и сте защитени от регулатора.

Защита на лични данни: какво споделяте с букмейкъра

Един от най-честите въпроси, които получавам: „Вижда ли букмейкърът данните на банковата ми карта, когато плащам с ePay?“ Отговорът е не. Точно в това е смисълът на ePay като посредник.

Когато депозирате чрез ePay, букмейкърът получава потвърждение, че плащането е извършено, сумата и имейл адреса на ePay акаунта ви. Не получава номер на карта, CVV код, дата на валидност или каквито и да било банкови данни. Тези данни остават при ePay и са защитени от PCI DSS стандартите, които описах по-горе.

Какво споделяте с букмейкъра при регистрация? Три имена, имейл, телефон, дата на раждане и при верификация — снимка на лична карта. Тези данни са необходими по закон за KYC проверката (Know Your Customer — познай своя клиент). Букмейкърът е задължен да ги съхранява сигурно и да не ги споделя с трети лица, освен при искане от регулатор или правоохранителен орган.

ePay допълнително минимизира данните, които букмейкърът вижда при всяка транзакция. Вместо пълен набор от финансова информация, операторът получава само потвърждение за плащане. Това е принципът на „минимално необходимата информация“ — букмейкърът получава точно толкова, колкото му трябва, за да обработи транзакцията, и нищо повече.

Тази минимизация е особено важна в контекста на хазартния сектор. При пробив в сигурността на букмейкъра (а такива случаи има по света, макар и рядко в България), нападателят получава достъп до данните, съхранявани от букмейкъра. Ако сте плащали с карта директно, тези данни включват номера на картата ви. Ако сте плащали с ePay — не включват. Разликата е между смяна на пароли и смяна на банкова карта. Второто е значително по-неприятно.

Последен съвет за защита на личните данни: използвайте различни пароли за ePay, за букмейкъра и за имейла. Ако едната парола бъде компрометирана, останалите акаунти остават защитени. Активирайте двуфакторна автентикация навсякъде, където е достъпна. Периодично проверявайте историята на транзакциите в ePay за непознати операции. Тези три стъпки отнемат минути, но могат да спасят стотици или хиляди лева.

Не подценявайте и имейл сигурността. Имейлът, с който сте регистрирани в ePay, е ключът към акаунта ви — ако някой получи достъп до имейла ви, може да поиска смяна на паролата на ePay. Използвайте силна парола за имейла и двуфакторна автентикация, ако доставчикът ви я поддържа. Gmail, Abv.bg и други основни доставчици вече предлагат 2FA — няма извинение да не я активирате.

Въпроси за сигурността на ePay

Създадено от редакцията на „Epay.bg Залагания“.