Вопрос-ответ

Популярные вопросы с ответами для владельцев и разработчиков сайтов
Как привязать банковскую карту к сайту?

Как привязать банковскую карту к сайту?

Содержание

Привязать банковскую карту к сайту — значит сохранить её данные в зашифрованном виде у платёжного сервиса (агрегатора), чтобы в будущем совершать оплату в один клик без повторного ввода номера карты, срока действия и CVV. Это делается не на самом сайте напрямую (сайт не должен хранить данные карт из соображений безопасности), а через интеграцию с платёжным шлюзом (например, ЮKassa, Stripe, Tinkoff Pay). После успешной оплаты агрегатор выдаёт токен — уникальный идентификатор карты, который сайт сохраняет для последующих платежей. Таким образом, вы привязываете карту не «к сайту», а к своему аккаунту на этом сайте через платёжного провайдера.

Как это работает (техническая схема)

Процесс привязки карты выглядит так (упрощённо для понимания).

  1. Вы на сайте выбираете товар/услугу и переходите к оплате.
  2. Вместо того чтобы вводить данные карты на сайте, вас перенаправляют на защищённую страницу платёжного агрегатора (или открывается iframe на той же странице).
  3. Вы вводите номер карты, срок действия, CVV (и, возможно, проходите 3D Secure — подтверждение кодом из SMS).
  4. Агрегатор проверяет платёж и возвращает на сайт специальный код — токен карты (например, card_12345). Сам сайт не видит номер карты.
  5. Сайт сохраняет этот токен в вашем профиле (как способ оплаты по умолчанию).
  6. В следующий раз вы нажимаете кнопку «Оплатить», сайт отправляет агрегатору только токен, и средства списываются без повторного ввода данных.

Таким образом, ваша карта привязана не к сайту, а к платёжному агрегатору. Сайт лишь хранит токен, который бесполезен для злоумышленников (без секретного ключа магазина).

Пошаговая инструкция для владельца сайта (как добавить функцию привязки карт)

Если вы владелец сайта и хотите, чтобы ваши клиенты могли привязывать карты для быстрой оплаты, вам потребуется настроить интеграцию с платёжным агрегатором, поддерживающим токенизацию.

1. Выберите платёжный агрегатор с поддержкой токенов

Почти все современные агрегаторы поддерживают создание «платёжных методов» (payment methods). Примеры:

  • ЮKassa (бывший Яндекс.Касса) — метод /payment_methods.
  • Tinkoff Pay — сохранение карт через идентификатор.
  • Stripe — параметр setup_future_usage при создании интента.
  • Robokassa — сохранение карт через опцию «Регулярные платежи».

2. Добавьте форму для привязки карты

В личном кабинете пользователя создайте раздел «Способы оплаты». Там разместите кнопку «Привязать новую карту». При клике:

  • Ваш сайт отправляет запрос агрегатору на создание интента на привязку (обычно с суммой 0 рублей или небольшим тестовым списанием с последующим возвратом).
  • Агрегатор возвращает ссылку (или JavaScript-виджет), который открывает форму ввода карты.
  • Пользователь вводит данные и подтверждает.
  • Агрегатор возвращает токен (идентификатор карты).
  • Ваш сайт сохраняет токен в базе данных, привязав к пользователю.

3. Используйте сохранённую карту для оплаты

При оформлении заказа показывайте список привязанных карт (например, «**** 1234»). Пользователь выбирает карту, ваш сервер берёт соответствующий токен и отправляет агрегатору запрос на списание уже без участия клиента.

Пример кода (концептуально, на PHP)



// Сохраняем токен после привязки
$paymentMethodId = $response['payment_method_id'];
$db->query("INSERT INTO user_cards (user_id, token, last4, expiry) VALUES ($userId, '$paymentMethodId', '1234', '12/26')");

// Оплата с использованием токена
$charge = $gateway->charge([
    'amount' => 1000,
    'currency' => 'RUB',
    'payment_method_id' => $storedToken,
    'confirm' => true
]);

В реальности API каждого агрегатора отличаются, общий принцип один.

0262

Готовые решения для популярных CMS и конструкторов

Если ваш сайт работает на CMS (Joomla, WordPress) или конструкторе (SitePro.by, Tilda), вам не нужно программировать с нуля.

  • Joomla + VirtueMart / HikaShop: В настройках плагина оплаты (например, Robokassa, ЮKassa) есть опция «Разрешить сохранение карт» или «Регулярные платежи». После включения, при первой оплате покупателю будет предложено сохранить карту для быстрых платежей в будущем.
  • WordPress + WooCommerce: Плагины Stripe, PayPal, ЮKassa имеют встроенную поддержку сохранения платёжных методов.
  • Конструкторы (Tilda, SitePro.by): В настройках блока оплаты можно включить опцию «Запомнить карту» (если провайдер поддерживает). Например, в Тильде при подключении ЮKassa есть чекбокс «Сохранять платёжные данные». В SitePro.by — аналогичная опция в модулях приёма платежей.
  • Самописный сайт: Придётся реализовывать через API агрегатора (см. документацию). Обычно это несколько десятков строк кода.
Платформа / CMSПоддержка привязки карт (токенизация)Комментарий
Joomla + VirtueMart Да (через плагин платежа) Включить опцию в настройках расширения
WordPress + WooCommerce Да (Stripe, ЮKassa) Плагины поддерживают setup_future_usage
Tilda / SitePro.by Да (частично) Зависит от платёжного агрегатора, ищите чекбокс «Сохранить карту»

Безопасность: почему это не опасно (если сделано правильно)

Многие боятся хранить карты на сайтах, но современная токенизация безопасна:

  • Сайт не хранит номер карты, только токен, который бесполезен без секретного ключа магазина.
  • Все чувствительные данные (CVV, срок) вводятся на странице агрегатора, который имеет сертификат PCI DSS.
  • Для списания требуется отдельный запрос к API агрегатора с использованием секретного ключа, который лежит на сервере, а не в коде фронтенда.
  • Даже если база данных сайта будет взломана, злоумышленники получат набор токенов, которые нельзя конвертировать в реальные карты.

Единственный риск — если злоумышленник получит доступ к вашему аккаунту на сайте (например, украдёт пароль). Тогда он сможет оплачивать свои покупки, используя ваши привязанные карты. Поэтому рекомендуется в личном кабинете удалять карты при первой подозрительной активности.

Почему сайт не может хранить карты сам (закон и стандарты)

Хранение карт на своих серверах — сложный и опасный процесс. Стандарт безопасности PCI DSS (Payment Card Industry Data Security Standard) предписывает строгие требования к хранению, передаче и шифрованию данных карт. Штрафы за нарушение достигают 500 000 рублей за инцидент и возможная блокировка эквайринга. Именно поэтому доверять хранение карт лучше профессиональным агрегаторам (ЮKassa, Stripe, Tinkoff Pay) — у них есть все необходимые сертификаты и аудит.

Резюме от эксперта

Привязать карту к сайту — значит разрешить сайту использовать токен карты для будущих платежей. Сам сайт не видит данные карты, всё происходит через платёжный агрегатор. Это удобно для подписок, регулярных донатов, быстрых повторных заказов. Если вы владелец сайта, реализуйте привязку карт через готовые плагины для CMS (Joomla, WordPress) или встроенные опции конструкторов (Tilda, SitePro.by). Если разработчик — изучите API токенизации вашего агрегатора. Никогда не пытайтесь хранить данные карт в своей базе — это небезопасно и противозаконно. Для пользователей: привязывайте карты только на проверенных сайтах с SSL-сертификатом и двухфакторной авторизацией. Внимательно читайте, соглашаетесь ли вы на рекуррентные списания (автоплатежи).

Услуги

Популярные вопросы с ответами