• 0936-840-1387
  • info@karaaweb.ir
  • Iran,Tehran,Shariati st,police st
karaaweb
ورود | ثبت نام

درگاه بانکی، پرداخت آنلاین

درگاه بانکی

مقدمه

درگاه بانکی یا درگاه پرداخت اینترنتی هسته‌ی فروش آنلاین است. بدون یک درگاه امن و قابل اعتماد، کسب‌وکارهای آنلاین نمی‌توانند پرداخت مشتری را دریافت کنند. در این مقاله یک راهنمای عملی، گام‌به‌گام و قابل اجرا برای اتصال درگاه بانکی به سایت ارائه شده است — مناسب برای سایت‌های وردپرسی، فروشگاه‌های ووکامرس و سایت‌های اختصاصی (PHP، Node.js و غیره). در پایان نکات امنیتی، تست‌ها و عیب‌یابی نیز آورده شده تا پیاده‌سازی شما هم کارا و هم قابل اعتماد باشد.

۱. انواع درگاه‌های بانکی و انتخاب مناسب

قبل از هرچیز باید بدانید چه نوع درگاهی نیاز دارید:

  • درگاه مستقیم بانکی: کاربر در سایت شما پرداخت را انجام می‌دهد و تجربه یکپارچه است. معمولاً نیاز به تاییدهای بانکی و الزامات امنیتی بیشتر دارد.

  • درگاه واسط (PSP یا پرداخت‌یار): شرکت‌های واسط مانند زرین‌پال، آی‌دی‌پی، پی‌پینگ (مثال‌های محلی) پرداخت را مدیریت می‌کنند و پیاده‌سازی ساده‌تری دارند.

  • درگاه خارجی بین‌المللی: برای پذیرش کارت‌های بین‌المللی (مثلاً Stripe، PayPal) مناسب است اما برای کسب‌وکارهای ایرانی محدودیت‌های تحریم و نیاز به راه‌حل‌های جایگزین دارد.

راهنمای انتخاب:

  • اگر می‌خواهید سریع راه بیفتید و تایید حساب بانکی ساده‌تر باشد → درگاه واسط.

  • اگر حجم تراکنش بالا، کارمزد کم و تجربه‌ی کاربری یکپارچه می‌خواهید → درگاه مستقیم.

  • برای فروش بین‌المللی → سرویس‌های بین‌المللی یا راهکارهای محلی با امکان پرداخت خارجی.

۲. پیش‌نیازها و مدارک لازم

برای ثبت‌نام و فعال‌سازی درگاه بانکی معمولاً نیاز دارید:

  • حساب حقوقی یا حقیقی (بسته به قوانین PSP/بانک)

  • مدارک شناسایی و اطلاعات کسب‌وکار (شناسه ملی، جواز کسب یا معادل)

  • اطلاعات حساب بانکی برای تسویه (شماره شبای حساب)

  • دامنه و سند SSL معتبر (حتماً https)

  • درگاه مستقیم: ممکن است قرارداد و تایید فنی از بانک لازم باشد.

نکته امنیتی: اطلاعات حساب و مدارک را فقط در درگاه‌ها و شرکت‌های معتبر ارسال کنید.

۳. آماده‌سازی فنی سایت

قبل از اتصال فنی، سایت باید آماده باشد:

  1. HTTPS فعال: گواهی SSL نصب و Force HTTPS برای تمامی صفحات پرداخت.

  2. پشتیبان‌گیری: قبل از هر تغییر بزرگ، بکاپ کامل از دیتابیس و فایل‌ها بگیرید.

  3. محیط تست (Sandbox): بسیاری از درگاه‌ها محیط تست دارند — ابتدا در محیط تست پیاده‌سازی و آزمایش کنید.

  4. دسترسی API و کلیدها: پس از ثبت‌نام، پنل درگاه معمولاً کلیدهای API (Public/Private) و آدرس‌های callback/notify می‌دهد.

۴. گام‌به‌گام اتصال — حالت‌های متداول

۴.۱ اتصال به وردپرس + ووکامرس

  1. از مخزن وردپرس یا سایت درگاه، افزونه رسمی درگاه را دانلود کنید.

  2. افزونه را نصب و فعال کنید (افزونه‌های محبوب معمولاً با ووکامرس سازگارند).

  3. در تنظیمات ووکامرس → پرداخت‌ها، درگاه موردنظر را فعال کنید.

  4. کلیدهای API (Merchant ID، Public/Private Key، Salt یا رمز) را وارد کنید.

  5. آدرس‌های بازگشت (Return URL / Callback URL) را در پنل درگاه ثبت کنید — معمولاً آدرس صفحه تایید سفارش سایت شما است.

  6. حالت تست (Sandbox) را فعال و یک خرید آزمایشی انجام دهید.

  7. پس از موفقیت در تست، حالت فروش (Live) را فعال کنید و مجدداً تراکنش واقعی چک کنید.

۴.۲ اتصال به سایت اختصاصی (PHP – نمونه کلی)

  1. از پنل درگاه کلیدهای API و آدرس‌های لازم را دریافت کنید.

  2. یک فرم پرداخت امن ایجاد کنید (مقدار پرداخت، شناسه سفارش، اطلاعات مشتری).

  3. هنگام ارسال به درگاه، پارامترهای موردنیاز (merchant_id، amount، callback_url و غیره) را ارسال کنید.

  4. کاربر را به صفحه‌ی پرداخت بانک هدایت می‌کنید یا با API داخلی درگاه پرداخت را فراخوانی می‌کنید.

  5. درگاه بعد از پرداخت، درخواست POST یا GET به آدرس callback شما می‌فرستد — این endpoint باید وضعیت تراکنش را بررسی (verify) کند و سپس وضعیت سفارش را در دیتابیس به‌روزرسانی کند.

  6. همیشه verification سمت سرور (server-to-server) را انجام دهید تا از جعل نتیجه جلوگیری شود.

نمونه‌ی ساده (فلو):

  • ایجاد سفارش در دیتابیس → آماده‌سازی درخواست به درگاه → ارجاع کاربر به صفحه پرداخت → دریافت callback → تایید تراکنش از طریق API درگاه → تغییر وضعیت سفارش → نمایش صفحه نتیجه به کاربر.

۴.۳ اتصال با Node.js یا فریم‌ورک‌های مدرن

  • همان الگوی بالا با استفاده از کتابخانه‌های HTTP برای ارسال/دریافت درخواست‌ها.

  • از وب‌هوک‌ها (webhooks) برای اطلاع‌رسانی تراکنش استفاده کنید و endpoint وب‌هوک را امن نگه دارید (کلید امضا یا IP سفید).

۵. امنیت و مطابقت با استانداردها

  • HTTPS: بدون SSL هر نوع پرداخت غیرقابل قبول است.

  • PCI-DSS: اگر اطلاعات کارت‌ها را روی سرور خود نگهداری نمی‌کنید، تعهدات کاهش می‌یابد؛ اما اگر سرور شما کارت را پردازش می‌کند، باید با PCI-DSS همخوانی داشته باشید. استفاده از درگاه‌هایی که توکنایزیشن ارائه می‌دهند، کمک بزرگی است.

  • توکنایزیشن: به جای ذخیره اطلاعات کارت، از توکن‌های امن استفاده کنید.

  • CSRF/Clickjacking: فرم‌های پرداخت را در برابر حملات محافظت کنید.

  • Log و مانیتورینگ: لاگ تراکنش و خطاها را ذخیره کنید و هشدار برای تراکنش‌های خطا یا مشکوک تنظیم کنید.

  • Rate limiting: از endpointهای پرداخت در برابر حملات DoS محافظت کنید.

۶. تست و اعتبارسنجی

  • محیط Sandbox: اکثر درگاه‌ها شماره کارت‌های تست و سناریوهای خطا را ارائه می‌کنند.

  • تست تراکنش‌های موفق و ناموفق: حداقل ۵ سناریو: پرداخت موفق، پرداخت ناموفق (موجودی ناکافی)، خطای شبکه، callback گمشده، callback تکراری.

  • بررسی امنیتی: اسکن امنیتی، بررسی HTTPS، بررسی سربرگ‌های امنیتی (HSTS، Content Security Policy).

  • تست کاربر واقعی: UX فرآیند پرداخت را با کاربران واقعی آزمایش کنید: آیا پیام‌ها واضح‌اند؟ آیا کاربر بعد از پرداخت بدان بازگردانده می‌شود؟

۷. مدیریت خطاها و مشکلات رایج

  • خطای ارسال به درگاه: بررسی پارامترها (merchant_id، amount، redirect URL).

  • callback دریافت نمی‌شود: فایروال یا تنظیمات هاست ممکن است POSTهای خارجی را مسدود کند. IP و User-Agent وب‌هوک را چک کنید.

  • تراکنش در وضعیت معلق: ممکن است نیاز به استعلام از API درگاه داشته باشید. همیشه از endpoint تایید استفاده کنید.

  • اختلاف در مبلغ تسویه: ممکن است کارمزدها یا زمان تسویه باعث اختلاف شوند؛ گزارش مالی در پنل درگاه را بررسی کنید.

۸. نکات تجربه کاربری (UX) و افزایش تبدیل

  • فرآیند کوتاه و واضح: از فیلدهای غیرضروری جلوگیری کنید.

  • نمایش وضعیت پرداخت: بارگذاری، موفقیت، خطا — پیام‌های واضح و کاربرپسند نمایش دهید.

  • ایمیل/پیامک تایید: بعد از پرداخت موفق، رسید ارسال کنید.

  • مکانیزم بازگشت امن: اگر کاربر پس از پرداخت به سایت بازنگشت، از webhook برای اطمینان از به‌روزرسانی وضعیت سفارش استفاده کنید.

  • پیام‌های خطا محور راهنمایی: به جای نمایش ارورهای فنی، راهنمایی مشخص برای کاربر نمایش دهید (مثلاً «موجودی کافی نیست — لطفاً کارت دیگری امتحان کنید»).

۹. نکات مالیاتی و حسابداری

  • تراکنش‌ها را به‌صورت منظم با سندهای حسابداری همسان‌سازی کنید.

  • گزارش‌های ریالی و دلاری را تفکیک کنید (در صورت وجود پرداخت خارجی).

  • نگهداری رسید و اطلاعات تراکنش برای زمان مورد نیاز قوانین مالیاتی و حسابرسی اهمیت دارد.

۱۰. جمع‌بندی و چک‌لیست نهایی پیش از فعال‌سازی

پیش از رفتن به حالت زنده، از موارد زیر مطمئن شوید:

  • SSL نصب و Force HTTPS فعال است.

  • بکاپ کامل از سایت تهیه شده.

  • حالت Sandbox با موفقیت تست شده.

  • callback/webhook به درستی کار می‌کند و سرور می‌تواند درخواست‌های خارجی را دریافت کند.

  • کلیدهای API و مقادیر پیکربندی در محیط زنده وارد شده‌اند.

  • پیام‌های کاربری و رسیدها تنظیم شده‌اند.

  • سیاست‌های امنیتی (PCI، توکنایزیشن) رعایت شده‌اند.

  • گزارش‌گیری و لاگینگ فعال است.

سوالات متداول (FAQ)

۱. آیا می‌توانم بدون SSL درگاه وصل کنم؟
نه — برای هر پرداخت آنلاین SSL/HTTPS ضروری است.

۲. اگر callback سایت من کار نکند چه می‌شود؟
در این صورت ممکن است وضعیت سفارش آپدیت نشود؛ از وب‌هوک و verification سرور به سرور استفاده کنید و پنل درگاه را برای بررسی دستی تراکنش چک کنید.

۳. کارمزد درگاه چقدر است؟
کارمزدها بسته به بانک یا PSP متفاوت است؛ معمولاً درصدی از مبلغ تراکنش + هزینه ثابت وجود دارد. قبل از انتخاب، نرخ‌ها را مقایسه کنید.

۴. چطور از تقلب جلوگیری کنم؟
اضافه کردن مکانیزم‌های تشخیص تقلب، محدودسازی تعداد تراکنش، بررسی CVV و استفاده از ۳D Secure (در صورت پشتیبانی) کمک می‌کند.

نتیجه‌گیری

اتصال درگاه بانکی به سایت نه تنها یک عملیات فنی است، بلکه شامل تصمیم‌گیری‌های کسب‌وکار، امنیت و تجربه کاربری می‌شود. با انتخاب درگاه مناسب، آماده‌سازی فنی (HTTPS، بکاپ، محیط تست)، پیاده‌سازی مرحله‌ای (ابتدا Sandbox)، رعایت استانداردهای امنیتی (PCI-DSS، توکنایزیشن) و تست‌های کامل، می‌توانید یک سیستم پرداخت امن و قابل اعتماد راه‌اندازی کنید که موجب افزایش اعتماد مشتری و رشد فروش شما می‌شود.

برچسب خورده