Открыть сервис

Платёжный шлюз

Платёжный шлюз (англ. payment gateway) — это программно-аппаратный комплекс, обеспечивающий техническое взаимодействие между интернет-магазином или иным веб-сервисом и процессинговым центром банка-эквайера для авторизации и обработки транзакций по банковским картам и другим электронным платёжным инструментам в режиме реального времени. Платёжный шлюз выступает в роли посредника, шифруя и передавая конфиденциальные данные плательщика (номер карты, срок действия, CVV-код) от сайта продавца к платёжной системе и обратно, обеспечивая безопасность и соответствие стандартам индустрии.

История

Предпосылки возникновения

С развитием электронной коммерции в середине 1990-х годов возникла необходимость в автоматизированном приёме платежей через интернет. Первоначально продавцы использовали ручной ввод данных карт, полученных по электронной почте или телефону, что было небезопасно и неэффективно. Первые протоколы безопасной передачи данных, такие как SSL (Secure Sockets Layer), разработанный компанией Netscape в 1994 году, создали техническую основу для шифрования данных при передаче между браузером и сервером.

Первые платёжные шлюзы

Первый коммерческий платёжный шлюз — CyberCash — был запущен в 1994 году в США. Он позволял интернет-магазинам принимать платежи по кредитным картам, используя шифрование данных на стороне клиента. В 1996 году появился шлюз VeriSign Payment Services (позже приобретённый PayPal). В России первые платёжные шлюзы начали появляться в начале 2000-х годов, когда рынок электронной коммерции стал активно расти. Одним из пионеров стала компания «Ассист» (основана в 1998 году), предоставлявшая услуги интернет-эквайринга.

Развитие и стандартизация

С ростом объёмов онлайн-платежей и увеличением числа мошеннических операций возникла необходимость в стандартизации безопасности. В 2004 году международные платёжные системы Visa и Mastercard разработали стандарт PCI DSS (Payment Card Industry Data Security Standard), который обязал всех участников платёжной цепочки, включая операторов платёжных шлюзов, соблюдать строгие требования к защите данных держателей карт. Это привело к консолидации рынка и повышению надёжности шлюзов.

Устройство и принцип работы

Компоненты системы

Платёжный шлюз состоит из нескольких ключевых компонентов:

  • Интеграционный модуль — набор API (Application Programming Interface) и библиотек для встраивания в сайт или мобильное приложение продавца.
  • Платёжная форма — интерфейс, который видит покупатель для ввода платёжных данных.
  • Шифровальный модуль — отвечает за шифрование данных с использованием протокола TLS (Transport Layer Security) и алгоритмов, таких как AES.
  • Маршрутизатор транзакций — направляет запрос в соответствующий процессинговый центр банка-эквайера.
  • Модуль обработки ответов — принимает результат авторизации (одобрение или отказ) и передаёт его на сайт продавца.

Процесс обработки транзакции

  1. Инициация: покупатель на сайте интернет-магазина выбирает товары и переходит к оплате. Сайт формирует запрос к платёжному шлюзу, передавая сумму заказа, идентификатор заказа и данные покупателя.
  2. Шифрование и передача: платёжный шлюз создаёт защищённую платёжную форму, в которую покупатель вводит данные карты. Данные шифруются и отправляются на сервер шлюза.
  3. Авторизация: шлюз передаёт запрос в процессинговый центр банка-эквайера, который проверяет доступность средств на счёте покупателя и отправляет запрос в платёжную систему (Visa, Mastercard, «Мир»). Платёжная система связывается с банком-эмитентом (банком покупателя) для подтверждения транзакции.
  4. Ответ: банк-эмитент возвращает код ответа (одобрение, отказ по причине недостатка средств, блокировки карты и т.д.). Процессинговый центр передаёт ответ шлюзу.
  5. Уведомление: шлюз отправляет результат на сайт продавца, который информирует покупателя об успешности или неуспешности платежа.
  6. Расчёты: после завершения транзакции банк-эквайер переводит средства на расчётный счёт продавца (обычно в течение 1–3 рабочих дней).

Безопасность

Основные меры безопасности, реализуемые платёжными шлюзами:

  • Шифрование данных: использование протокола TLS для защиты канала связи и алгоритмов шифрования для хранения данных.
  • Токенизация: замена конфиденциальных данных (например, номера карты) на уникальный токен, который не имеет ценности для злоумышленников. Токен используется для повторных платежей без повторного ввода данных.
  • 3-D Secure: протокол аутентификации держателя карты, требующий ввода одноразового пароля или биометрической проверки на стороне банка-эмитента. В России используется версия 3-D Secure 2.0, поддерживаемая платёжной системой «Мир».
  • Соответствие стандарту PCI DSS: все шлюзы обязаны проходить ежегодную сертификацию на соответствие требованиям безопасности.

Виды платёжных шлюзов

По модели обслуживания

  • Самостоятельные шлюзы — предоставляются отдельными компаниями (например, Stripe, PayPal, «Яндекс.Касса» (сервис компании «Яндекс», признанной в РФ иностранным агентом), «Т-Касса»). Продавец подключается к шлюзу напрямую, получая полный набор функций.
  • Банковские шлюзы — встроены в инфраструктуру банка-эквайера (например, Сбербанк, ВТБ, Альфа-Банк). Продавец заключает договор с банком, который предоставляет шлюз как часть услуги интернет-эквайринга.
  • Шлюзы платёжных агрегаторов — компании, которые объединяют несколько способов оплаты (карты, электронные деньги, мобильные платежи) в одном интерфейсе (например, Robokassa, PayAnyWay).

По способу интеграции

  • Хостинговые шлюзы — покупатель перенаправляется на страницу платёжного шлюза, где вводит данные карты. После оплаты он возвращается на сайт продавца. Простой и безопасный способ, но снижает конверсию из-за перехода на сторонний сайт.
  • Встроенные шлюзы — платёжная форма встраивается непосредственно на сайт продавца (например, через iframe или API). Данные вводятся на странице магазина, но обрабатываются шлюзом. Более удобны для пользователя, но требуют более сложной интеграции.
  • Прямые шлюзы (on-site) — данные карты передаются на сервер продавца, который затем отправляет их в шлюз. Этот метод требует высокого уровня безопасности и сертификации PCI DSS, поэтому используется редко.

По поддерживаемым платёжным инструментам

  • Карточные шлюзы — принимают только банковские карты (Visa, Mastercard, «Мир», UnionPay).
  • Мультивалютные шлюзы — поддерживают приём платежей в разных валютах и конвертацию по курсу.
  • Универсальные шлюзы — принимают карты, электронные кошельки (например, QIWI, WebMoney), мобильные платежи, системы быстрых платежей (СБП) и криптовалюты.

Применение

Электронная коммерция

Основная сфера использования — интернет-магазины, где платёжный шлюз обеспечивает приём платежей за товары и услуги. Шлюзы интегрируются с популярными CMS (1С-Битрикс, WordPress с WooCommerce, Shopify, OpenCart), что позволяет продавцам быстро настроить приём платежей без программирования.

Подписки и регулярные платежи

Многие шлюзы поддерживают рекуррентные платежи (например, для сервисов подписки, хостинга, онлайн-кинотеатров). Для этого используется токенизация — сохранение токена карты для последующих списаний без повторного ввода данных.

Платежи в мобильных приложениях

Шлюзы предоставляют SDK для iOS и Android, позволяя встраивать приём платежей в мобильные приложения. Примеры: Apple Pay и Google Pay поддерживаются через соответствующие SDK платёжных шлюзов.

B2B-платежи

В корпоративном секторе платёжные шлюзы используются для приёма платежей от юридических лиц, часто с поддержкой счетов-фактур и интеграцией с бухгалтерскими системами (например, 1С).

Примеры платёжных шлюзов

Международные

  • Stripe — один из крупнейших шлюзов, поддерживающий более 135 валют и интеграцию с множеством платформ. Предоставляет API для разработчиков.
  • PayPal — одновременно платёжная система и шлюз. Позволяет принимать платежи как через кошельки PayPal, так и через банковские карты.
  • Adyen — шлюз для крупных компаний, поддерживающий более 250 способов оплаты по всему миру.

Российские

  • Сбербанк Эквайринг — шлюз Сбербанка, один из самых популярных в России. Поддерживает карты «Мир», Visa, Mastercard, а также СБП.
  • Т-Касса (сервис Т-Банка) — предоставляет интернет-эквайринг с поддержкой карт, СБП и токенизации.
  • ЮKassa (сервис компании «Яндекс», признанной в РФ иностранным агентом) — универсальный шлюз, принимающий карты, электронные кошельки, СБП и наличные через терминалы.
  • PSB Pay — шлюз Промсвязьбанка, ориентированный на работу с государственными и оборонными предприятиями.

Критика и ограничения

Комиссии и стоимость

Платёжные шлюзы взимают комиссию за каждую транзакцию (обычно от 1% до 3% от суммы). Для малого бизнеса это может быть существенной статьёй расходов. Некоторые шлюзы также взимают ежемесячную абонентскую плату или плату за подключение.

Технические сбои

Сбои в работе шлюза могут привести к потерям продаж. Например, в 2022 году из-за технических проблем у ряда российских шлюзов наблюдались задержки в обработке платежей, что вызвало недовольство продавцов.

Безопасность и мошенничество

Несмотря на стандарты безопасности, шлюзы остаются целью для хакеров. В 2020 году была зафиксирована атака на шлюз компании «Яндекс.Касса» (сервис компании «Яндекс», признанной в РФ иностранным агентом), в результате которой были скомпрометированы данные некоторых пользователей. Кроме того, шлюзы не всегда эффективно защищают от мошеннических транзакций (например, от использования украденных карт).

Регуляторные ограничения

В России платёжные шлюзы обязаны соблюдать требования Центрального банка РФ, включая обязательную идентификацию клиентов (ФЗ-115 «О противодействии легализации доходов»). Это может усложнять процесс подключения для продавцов и увеличивать время обработки платежей.

Перспективы развития

Интеграция с системами быстрых платежей (СБП)

В России активно развивается приём платежей через СБП, что позволяет снизить комиссии (до 0,4–0,7%) и ускорить зачисление средств. Многие шлюзы уже добавили поддержку СБП.

Использование искусственного интеллекта

ИИ применяется для анализа транзакций в реальном времени, выявления мошеннических операций и персонализации платёжного опыта. Например, шлюз Stripe использует машинное обучение для оценки риска каждой транзакции.

Поддержка криптовалют

Некоторые шлюзы начинают поддерживать приём платежей в криптовалютах (например, BitPay, Coinbase Commerce). В России этот сегмент ограничен из-за неопределённости правового статуса криптовалют.

Бесконтактные и биометрические платежи

Развитие технологий NFC и биометрии (отпечаток пальца, распознавание лица) ведёт к появлению шлюзов, поддерживающих оплату без ввода данных карты, например, через Apple Pay и Google Pay.

Источники

  1. Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платёжной системе».
  2. Стандарт PCI DSS версии 4.0, Совет по стандартам безопасности индустрии платёжных карт (PCI SSC).
  3. Отчёты Центрального банка РФ о развитии рынка электронных платежей (2020–2023).
  4. Материалы сайта «Интернет-эквайринг: как подключить и настроить» (статья на портале «Банки.ру»).
  5. Документация платёжных шлюзов Stripe, PayPal, Сбербанк Эквайринг, ЮKassa (сервис компании «Яндекс», признанной в РФ иностранным агентом).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →