Как выбрать платёжный шлюз для сайта: полное руководство для бизнеса

Принимает данные карты, СБП или другого метода оплаты.

Шифрует и передаёт их в банк-эквайер или другую платёжную систему.

Получает ответ «успешно» или «отказ», возвращает результат мерчанту и пользователю.

Логирует операции и помогает отслеживать статусы платежей.

Инициация платежа. Покупатель выбирает способ, например, картой или СБП, и нажимает «Оплатить». Бизнес передаёт в шлюз параметры сделки — сумму, валюту, описание заказа, идентификатор клиента.

Сбор и шифрование данных. Шлюз показывает платёжную форму. Затем принимает данные карты или другого метода и шифрует их по стандартам PCI DSS. Данные не попадают на сервер мерчанта.

Маршрутизация запроса. Шлюз отправляет запрос в банк-эквайер или в несколько провайдеров сразу в зависимости от настроек мерчанта, типа карты, страны, суммы и т. п.

Авторизация в платёжной системе. Эквайер и платёжная система проверяют карту: достаточность средств, лимиты, риск-показатели. При необходимости подключается дополнительная аутентификация — 3D-Secure, пуш в банк, СМС-код.

Ответ и отображение результата. Эквайер возвращает шлюзу статус операции: успешно, отказ, требуется повтор. Шлюз транслирует результат в систему мерчанта через callback, webhook, API и показывает пользователю экран успеха или ошибки.

Финальное списание и зачисление. При успешной авторизации деньги списываются с карты клиента и резервируются или сразу зачисляются на счёт мерчанта в зависимости от выбранной схемы. Шлюз фиксирует операцию в журнале и позволяет бизнесу отслеживать статусы платежей в личном кабинете или через API.

Платёжный шлюз — это туннель для данных. Его задача — безопасно передать зашифрованную информацию о транзакции от сайта в банк-эквайер. Шлюз сам по себе не хранит деньги и не делает выплат на расчётный счёт. Для работы со шлюзом вам часто нужен прямой договор с банком-эквайером.

Платёжный агрегатор — это посредник, который берёт на себя и техническую, и финансовую часть. Агрегатор заключает договоры с банками, платёжными системами и даёт единое окно для приёма оплат. Деньги покупателей сначала приходят на счёт агрегатора, а потом он переводит их мерчанту одной суммой за вычетом комиссии.

Шлюз обычно требует открытия собственного торгового счёта, то есть ID мерчанта в банке. Это сложнее на старте, но деньги поступают на ваш счёт напрямую от банка, без посредников.

Агрегатор работает по модели суб-мерчанта. У него уже есть интеграция с банками, и он подключает вас на свой общий торговый счёт. Проверка KYC проходит быстрее и проще, прямой договор с банком не нужен.

Шлюз берёт фиксированную плату за транзакцию, или абонентскую плату за использование ПО. Плюс отдельно вы платите комиссию банку-эквайеру. Эта модель выгодна бизнесу с огромными оборотами, где важна каждая доля процента комиссии.

Агрегатор берёт процент с оборота — обычно 1,8–2,8%. В эту ставку уже включены комиссии банков и заработок самого агрегатора. Модель идеальна для малого и среднего бизнеса — платите только за успешные транзакции.

Плюсы. Минимум разработки, данные карт не проходят через ваш сайт, высокая узнаваемость бренда платёжного сервиса.

Кому подходит. Малому бизнесу и тем, кто использует готовые CMS — есть интеграция через платёжные модули.

Плюсы. Бесшовная оплата, клиент остаётся на вашем домене, простая настройка через небольшие фрагменты кода.

Кому подходит. Интернет-магазинам, которые хотят сохранить контроль над путём пользователя без сложной разработки.

Плюсы. Полная свобода в дизайне, возможность двухстадийной оплаты и рекуррентных платежей — подписок.

Минусы. Требует сильной команды разработчиков и строгого соответствия стандартам безопасности PCI DSS.

Кому подходит. Среднему и крупному бизнесу, мобильным приложениям и сервисам с уникальным интерфейсом.

Плюсы. Сайт или приложение не требуются вовсе.

Кому подходит. Бизнесу с продажами через соцсети, консультациями.

Техническая совместимость и готовые модули. Шлюз должен «подружиться» с вашим сайтом. Смотрите, есть ли у шлюза готовые плагины под вашу CMS — 1С-Битрикс, Tilda, WordPress и др. Если у вас самописный сайт или приложение, изучите API-документацию. Насколько она понятна вашим разработчикам и поддерживает ли необходимые функции. Например, рекуррентные платежи для подписок.

Безопасность и отказоустойчивость. Проверьте наличие сертификата PCI DSS последнего уровня. Также уточните показатель Uptime — время бесперебойной работы. Даже 15 минут простоя шлюза в Чёрную пятницу могут стоить миллионов выручки.

Поддержка современных методов оплаты. Классический ввод реквизитов карты уходит в прошлое, снижая конверсию. Шлюз должен интегрировать кнопки быстрой оплаты — поддерживать СБП, Яндекс Пэй, и другие цифровые кошельки. Это позволяет покупателю платить в один клик, что критично для мобильного трафика.

Гибкость настройки платёжного сценария. Проверьте, поддерживает ли шлюз холдирование — двухстадийный платёж. Деньги на карте клиента замораживаются, но списываются только после подтверждения наличия товара на складе. Это избавляет мерчанта от комиссий за возвраты.

Кастомизация платёжной формы. Она не должна выглядеть как инородный элемент. Узнайте, позволяет ли шлюз настроить дизайн формы под ваш бренд. Чем меньше визуальный разрыв между вашим сайтом и платёжным окном, тем выше доверие пользователя и меньше брошенных корзин.

Сертификация PCI DSS. Это база для онлайн-платежей. Любой шлюз обязан иметь сертификат соответствия стандарту PCI DSS — Payment Card Industry Data Security Standard. В этом случае данные карт обрабатываются в его защищённом контуре. Вы как мерчант вообще не касаетесь секретных данных — номера карты, CVV. Они не проходят через ваши серверы, а значит, их нельзя украсть из вашей базы данных.

Поддержка протокола 3D-Secure 2.0. Это тот самый этап подтверждения оплаты кодом из SMS или пуш-уведомления в приложении банка. Это защищает вас от фрод-чарджбэков — когда реальный владелец карты заявляет, что покупку совершил не он.

Антифрод-система. Шлюз должен иметь встроенный фильтр, который в реальном времени анализирует сотни параметров каждой транзакции. Система отсекает платежи с украденных карт, подозрительно частые покупки с одного IP или попытки перебора карт. Важно, чтобы антифрод не был слишком агрессивным, иначе он начнёт блокировать честных клиентов.

Токенизация. Вместо реальных данных карты в систему передаётся токен — зашифрованный цифровой ключ. Он бесполезен для мошенников, даже если они его перехватят. Для бизнеса это способ реализовать оплату в один клик и регулярные платежи, не храня у себя данные карт.

Ставка за транзакцию плавающая или фиксированная. Обычно тариф зависит от вашего оборота: чем он выше, тем ниже процент.Как сэкономить. Если ваш бизнес сезонный, выбирайте шлюз с гибкой шкалой, которая автоматически пересчитывает процент в зависимости от объёмов месяца. Уточните, есть ли минимальный ежемесячный платёж. Он может быть невыгоден для микробизнеса с нестабильными продажами.

Плата за техническое обслуживание шлюза. В отличие от агрегаторов, чистые шлюзы могут брать фиксированную плату:

• За подключение;
• За доступ к API или личному кабинету;
• Ежемесячную абонентскую плату за использование софта; Рассчитайте эффективную ставку. Иногда 2,5% у сервиса без абонентской платы выгоднее, чем 1,8% у шлюза с ежемесячным платежом 5 000 ₽.

Комиссия за возвраты и отмены. Это один из самых незаметных каналов потери денег. Некоторые шлюзы и банки не возвращают комиссию за транзакцию, если вы делаете возврат клиенту. То есть товар вернулся на склад, денег вы не получили, а процент банку уже заплатили. Используйте холдирование — двухстадийную оплату. Вы подтверждаете списание, только когда уверены в заказе. Если отмена произойдёт на этапе заморозки, комиссия шлюза обычно не взимается.

Стоимость дополнительных способов оплаты. Шлюз — это инструмент доступа к разным платёжным методам, и у каждого своя цена.

Стоимость интеграции и поддержки. Сложный шлюз может потребовать дорогих часов работы программистов для настройки и обновления. Чтобы не переплатить, выбирайте шлюз с бесплатными готовыми модулями для популярных CMS и качественной документацией. Если за каждое обращение в техподдержку или настройку нового метода оплаты шлюз выставляет счёт — ищите альтернативу.

Настройка Sandbox — песочницы. Перед запуском шлюз запускают в тестовом режиме. Вы проводите платежи виртуальными картами, чтобы проверить, меняется ли статус заказа в вашей системе.

Настройка Webhooks — откликов от шлюза. Как только банк подтверждает оплату, шлюз отправляет сигнал вашему сайту: «Деньги получены, можно отгружать товар». Без настройки вебхуков заказы в вашей админке будут висеть, как неоплаченные.

Связка с облачной кассой. В модели шлюза, в отличие от агрегатора, вы сами отвечаете за фискализацию. Шлюз лишь передаёт информацию о транзакции в ваш сервис онлайн-чеков.

Уровень одобрения платежей. Это процент транзакций, которые успешно прошли через шлюз и были одобрены банком-эмитентом. Если показатель ниже 85–90%, это повод для аудита. Причиной могут быть как ошибки в работе антифрод-фильтров, так и технические проблемы на стороне шлюза.

Конверсия в оплату. Показывает, какой процент клиентов, перешедших к выбору метода оплаты, успешно завершили транзакцию. Если клиент уходит со страницы оплаты, форма слишком сложная, или шлюз долго подгружается. Чем меньше кликов и полей для ввода, тем выше конверсия.

Техническая доступность. Время, в течение которого шлюз доступен для проведения операций — Uptime. Любой простой шлюза — это прямые убытки и риск потери лояльности клиента. Для профессиональных шлюзов стандартом считается 99,99% и выше.

Скорость обработки транзакции. Время от нажатия кнопки «Оплатить» до получения ответа от банка. Задержка более 5–7 секунд заставляет пользователя нервничать, обновлять страницу или закрывать вкладку, что может привести к дублированию списаний или отмене заказа.

Стоимость владения. Итоговая сумма, которую вы тратите на приём платежей, включая скрытые расходы. Сложите комиссию эквайринга, абонентскую плату за шлюз, стоимость технической поддержки и расходы на интеграцию.