С развитием технологий и культуры появился запрос на то, чтобы расплачиваться не только кусочками бумаги и металла. В 2022 году мировой объём онлайн-переводов составил 8,35 триллиона долларов, а в 2023 ему прогнозируют рост до 9,46 триллионов. В России доля безналичных платежей в 2022 году составила 78%, что вызвано не только пандемией, но и ростом удобства такого типа оплаты как такового. Хотя вы как владелец интернет-магазина обязаны дать своим покупателям возможность рассчитаться наличными с курьером, эта опция, судя по приведённой выше статистике, будет не в приоритете.
Онлайн-платёж — пожалуй, один из самых серьёзных аспектов работы вашего магазина, предполагающий гибкость и безопасность. В этой статье мы постараемся кратко ввести вас в тему безналичного расчёта в интернете: погрузимся в терминологию, проследим движение денег от покупателя в магазин, предупредим об опасностях и тратах. И, конечно же, мы бы не были Drupal-студией, если бы не коснулись вопроса о проведении онлайн-платежей на Drupal-сайте.
Введение в терминологию
Что такое электронная платёжная система?
Электронная платёжная система (ЭПС) — это набор физических устройств и программ, работающих в связке ради того, чтобы вы не носили с собой толстый от денег бумажник, а использовали его электронный — а потому куда более многофункциональный — эквивалент: пластиковую карточку (Visa, Mastercard, «Мир»), её виртуальную копию или веб-кошелёк (Яндекс.Деньги, QIWI, WebMoney, YooMoney). ЭПС позволяют оплатить покупку карточкой банка в физическом магазине или с помощью реквизитов на сайте или в приложении, заплатить за свет, газ и воду или одолжить денег другу без необходимости встретиться лично.
Также к ЭПС относятся платёжные агрегаторы, или поставщики платёжных услуг. Они выступают посредниками между покупателем, банком и продавцом, предоставляя за некоторый процент от суммы перевода целый набор услуг. Скажем, перевести деньги с карточки банка Х на электронный кошелёк Y не всегда возможно или сулит комиссию, а агрегатор берёт на себя функцию этакого парламентёра. Каждый платёжный агрегатор удобен и неудобен по-своему, и выбирать его нужно сообразно вашей действительности, в частности тому, к какой стране работает ваш бизнес.
Мы работали с такими платёжными агрегаторами как Stripe, PayPal, Braintree, Square, Worldpay и Ubercart.
Что такое интернет-эквайринг?
Под этим понятием подразумевается возможность оплаты через интернет без предъявления физической карты — пользователю стоит лишь ввести на сайте её реквизиты и спокойно кликать на кнопку завершения покупки, после чего пресловутая магия, о которой мы поговорим ниже, отправляет ваши деньги в интернет-магазин. Необходимость в карте как куске пластика отпадает, поэтому можно поддерживать виртуальную карту вашего банка или веб-кошелек.
Что такое платёжный шлюз?
Условно говоря, это канал, по которому в шифрованном виде передаются номер, дата и CVV карты покупателя. Это происходит по замысловатому, но безопасному маршруту, на котором с данными ничего случиться не должно.
В число часто используемых платёжных шлюзов входят Authorize.net, Amazon Payments, WePay, 2Checkout, Dwolla и другие. Иногда шифрование и передачу данных между участниками сделки берут на себя платёжные агрегаторы — такую функциональность предполагают, например, Stripe, PayPal и Worldpay.
При выборе платёжной системы для обработки платежей в России удостоверьтесь, что она работает в нашей стране. Такие, например, агрегаторы как Stripe и Braintree этим похвастаться не могут.
Как работает обработка безналичных платежей
Теперь в максимально упрощённой форме опишем перемещение денег от покупателя в магазин:
- Покупатель пополняет карту банка. Банк, выпустивший карту, называется банком-эмитентом.
- Покупатель вводит данные банковской карты на сайте или приложении интернет-магазина или платит за покупку через терминал.
- Данные поступают в платёжный шлюз, шифруются и отправляются в банк, сотрудничающий с магазином. Этот банк называется банком-эквайером.
- Зашифрованные данные поступают в ЭПС.
- ЭПС связывается с банком-эмитентом, чтобы получить разрешение или запрет на снятие денег, которых либо может быть недостаточно либо счёт покупателя может быть заблокирован.
- Если со счётом всё в порядке, банк-эмитент отправляет сумму покупки в банк-эквайер.
- Банк-эквайер зачисляет сумму покупки на расчётный счёт магазина.
Как принимать платежи на Drupal-сайте
Drupal — это очень хорошая и безопасная система управления контентом, через которую администратор сайта загружает текст и картинки. Но чтобы этот сайт умел делать что-то большее, чем быть просто блог-платформой, его возможности расширяют за счет подключения дополнительных модулей. Модули представляют собой набор PHP, CSS и JavaScript-кода, который взаимодействует с ядром системы, добавляя новые возможности. Модули и дистрибутивы Commerce, Kickstart и Ubercart — то, что вам нужно, чтобы сайт обладал возможностями работы с товарами и денежными переводами.
Commerce сам по себе не включает функцию оплаты, но предоставляет готовый фреймворк и админ-панель, к которым ее можно подключить. Пользователю нужно скачать модуль для платформы Drupal Commerce, который интегрируется с выбранной платёжной системой или шлюзом, и настроить его в административной панели. В список ЭПС и платёжных шлюзов, с которыми совместим Commerce, входят как глобально известные PayPal, Stripe, Braintree, Authorize.net, так и свыше сотни мелких агрегаторов типа Fondy, Net Pay и Walletone. Список (неполный, но всё же) интегрируемых с Commerce систем платежей можно посмотреть в документации модуля. Если в этом списке нет модуля того платёжного шлюза, который вы хотите использовать на своём сайте, фреймворк Drupal Commerce даёт возможность разработать его самому.
А что будет, если пренебречь интеграцией с платёжным шлюзом? К нам обратился клиент, покупателей которого при попытке оплатить заказ выбрасывает с сайта магазина на сайт банка, где и происходит оплата. Магия разоблачена, а в процедуре покупки добавились лишние шаги; как итог, покупатель недоволен. Вам повезёт, если он закончит покупку, но шансы, что он вернётся, снижаются — есть магазины и поудобнее. По оценкам программистов, разработка решения для интеграции Drupal Commerce с незнакомой платёжной системой может занимать десятки часов. Дорого, но посмотрите в будущее: сэкономив на разработке сейчас, вы потеряете покупателей и деньги потом.
О Commerce, Kickstart и Ubercart мы говорили в нашей первой статье на тему разработки eCommerce-сайтов и в ней же написали инструкцию по установке и настройке Commerce. Поэтому посвятим оставшееся место другим моментам. Например, расскажем про один исключительный случай, который можете пережить и вы, если принимаете платежи из банка другой страны.
Одним из клиентов нашей компании является детская клиника «До 16-ти». Для проведения оплаты за услуги мы использовали платёжный шлюз «Сбербанка». В документации банка нашлись изъяны: ничего не было сказано о том, что делать, если не проходит платёж с карты заграничного банка, а именно это и происходило с клиентами клиники, пытавшимися оплатить картой банков Казахстана. Проблема разрешилась только личным общением с техподдержкой «Сбербанка». Мораль и совет: не всегда в проблемах с интернет-эквайрингом виноваты разработчики, поэтому если у вас предполагаются международные транзакции, установите связь со службами поддержки всех сервисов, включённых в этот процесс.
Безопасность данных
Кто отвечает за безопасность данных? Что нужно сделать владельцу сайта, чтобы платёжные данные его покупателей никуда не утекли?
Обычно, если нужно хранить данные карты, выбирают платёжную систему, которая позволяет сделать это на своей стороне (например, Stripe). В таком случае сайт интернет-магазина оперирует только идентификаторами, с помощью которых запрашивает данные у платёжной системы. Однако возможность утечки всё ещё остаётся: злоумышленник может найти дыры в безопасности при настройке веб-сервера или в самом приложении и внедрить через эти дыры свой код для сбора личных данных или может украсть приватные ключи для интеграции с агрегатором.
Чтобы обезопасить себя, стоит поддерживать апдейты безопасности для CMS и модулей, грамотно настроить сам веб-сервер и права доступа и внимательно относиться к функциональному тестированию системы на предмет разграничения прав доступа, чтобы у анонимных пользователей не было доступа к заказам или покупатели не могли видеть заказы друг друга.
Траты
Разумеется, сторонний сервис тоже хочет заработать и берёт с онлайн-предпринимателей плату за те или иные из своих услуг. Всех поставщиков услуг интернет-эквайринга объединяет комиссия с каждого перевода. Например, PayPal берёт 2,9% от платежа плюс 30 центов. В некоторых случаях эта комиссия рассчитывается от месячного оборота бизнеса: Fondy берёт 2,7% или 2,6% от платежа в случае месячного оборота меньше 1 млн рублей и больше 1 млн рублей соответственно. Также хорошие, клиентоориентированные сервисы готовы высчитать для вас особую процентную ставку с учётом вашего региона и типа бизнеса.
Кроме платы за перевод, платёжные сервисы могут взимать плату за:
- ежемесячное пользование,
- настройку сервиса,
- возвратный платёж,
- международные переводы.
Внимательно читайте информацию о тарифах у каждого поставщика платёжных услуг.
Дополнительных трат потребует и хостинг — интернет-магазин c поиском по товарам, фильтрами, страницей оплаты, личным кабинетом и т. д. нуждается в более производительном сервере, если сравнивать с сайтом-визиткой или новостным порталом.
Итак, траты будут. Но как не допустить их излишка в виде штрафов? В июле 2016 года был принят Федеральный закон 54-ФЗ «О применении контрольно-кассовой техники». В рамках этого закона каждый магазин должен быть оборудован кассой с фискальным накопителем, который фиксирует данные о каждой продаже и отправляет их в налоговую службу. Если вы ведёте бизнес из России, убедитесь, что ваш поставщик услуг интернет-эквайринга соблюдает закон 54-ФЗ.
Ремарка о PayPal: несмотря на масштаб своего участия в мировой онлайн-торговле, он по каким-то причинам этот закон не соблюдает. Если продавец — это юридическое лицо, зарегестрированное в РФ, то 54-ФЗ, среди прочего, предписывает отправлять покупателям чек на русском языке с суммой в рублях. Поэтому для торговли с иностранцами чаще регистрируют второе юрлицо где-нибудь за границей. А можно последовать примеру компании «АТОЛ-Онлайн» и сделать свой сервис для фискализации платежей через PayPal, о котором они рассказали в своей статье на vc.ru.
Заключение
Опыт подсказывает, что владельцы сайтов могут очень хорошо изучить матчасть в вопросах отличия платёжных систем друг от друга, охраны безопасности данных и многим другим, но не всегда могут уверенно применить эти знания на практике. Вспомните кейс про самостоятельную разработку модуля для работы с платёжным шлюзом — как можно понять, эта задача требует навыков программирования. Мы пишем эту статью, потому что хотим разговаривать с предпринимателями на одном языке, но призываем вас делегировать задачи по внедрению и настройке платёжной системы своему подрядчику.
