درگاه پرداخت اینترنتی چگونه کار می‌کند؟

در هر دو حالت مقداری پول از حساب شما کسر و به حساب مقصد واریز می‌شود. هرچند در اصل قضیه این‌گونه است که مقداری پول از حساب شما کسر می‌شود و در حساب بانک شما می‌ماند. ازآن‌سو بانک مقصد همان مقدار پول را از حساب خود کسر و به حساب مقصد واریز می‌کند.

تسویه‌حساب‌های بین‌بانکی هم معمولا در ساعات خلوت مثل نیمه‌شب‌ها که حجم تراکنش‌های مالی کم است، صورت می‌گیرند.

کل فرآیند‌های این انتقال وجه در داخل شبکه بانکی رخ می‌دهد. حتی اگر تمهیدات امنیتی نرم‌افزاری هم برای آن در نظر گرفته نشده باشد، به دلیل اینکه همه‌چیز درون شبکه بانکی است و دسترسی به آن برای افراد و کامپیوترهای خارج از شبکه سخت است؛ در نتیجه سیستم حدی از امنیت را دارا است.

اما هنگامی که می‌خواهید یک پرداخت اینترنتی انجام دهید، از آنجایی شما در اینترنت هستید و دائما در معرض تهدید قرار دارید، باید تمهیدات امنیتی برای جلوگیری از هرگونه سرقت اطلاعات استفاده شود.

اگر چنین تمهیداتی رعایت نشوند، اولین چیزی که احتمالا رخ ‌می‌دهد این است که کسی اطلاعات کارت بانکی شما را سرقت کرده و مقداری پول از حساب شما برداشت کند.

رمزنگاری اطلاعات

امروزه برای اینکه وب‌سایت‌ها و سرویس‌های متعدد بتوانند امنیت کاربران و خودشان را حفظ کنند، از رمزنگاری استفاده می‌کنند.

معمول‌ترین روش رمزنگاری هم استفاده از رمزنگاری TLS یا Transport Layer Security است که به اتصال https مشهور است.

سیستم‌های پرداخت اینترنتی هم برای اینکه بتوانند امنیت پرداخت‌ها را تامین کنند از دو لایه رمزگذاری استفاده می‌کنند. لایه اول رمزگذاری استفاده از همین پروتکل TLS یا https در دامنه وب‌سایت‌ها یا اپلیکیشن‌ها است..

لایه دوم امنیتی، کلید‌های رمزگذاری است که هر سایت پرداخت‌کننده یا بانک در اختیار وب‌سایت‌ها یا اپلیکیشن‌ها پذیرنده قرار می‌دهند و با استفاده از این کلید داده‌ها را رمزگذاری می‌کنند.

برای اینکه سیستم امنیتی و نحوه انجام یک پرداخت اینترنتی را توضیح دهیم بگذارید بهتر است کمی رمزگذاری https را تشریح کنیم.

رمزگذاری چیست؟

رمزگذاری یا رمزنگاری، مفهوم اولیه ساده‌ای دارد. رمزگذاری یعنی اینکه شما اطلاعات را با استفاده از یک کلید رمزنگاری یا همان دستورالعمل رمزگذاری، به شکل دیگری درمی‌آورید. تنها افرادی می‌توانند اطلاعات شما را بخوانند که کلید رمزگذاری را داشته باشند. بگذارید یک مثال ابتدایی بزنیم.

فرض کنید من می‌خواهم عبارت «سلام» را به‌صورت رمزگذاری شده ارسال کنم.

ابتدا یک قرارداد رمزنگاری یا همان کلید رمزنگاری (Encryption Key) باید تعریف کنیم؛ مثلا فرض کنید در قرارداد رمزنگاری درج می‌کنیم که:

عبارت «ن۱ت» همان حرف «س» باشد. «ت۳غ» حرف «ل»، «خ۹۸ن» حرف «الف» و «غ۶۵ی» حرف «م» باشد. بقیه حرف الفبا، اعداد و علامت‌ها نیز به شکل مشابهی تنظیم می‌شوند.

طبق این قرارداد رمزنگاری یا کلید رمزگذاری، کلمه «سلام» به این شکل خواهد بود «ن۱تت۳غخ۹۸نغ۶۵ی».

اگر کسی در بین راه این پیام را دریافت کند، چیزی از آن نخواهد فهمید. او به دلیل اینکه قرارداد رمزنگاری یا کلید رمزگذاری را ندارد، نخواهد فهمید محتوای واقعی این عبارت چیست و چنین پیامی برای او بی‌معنی خواهد بود.

اگر فقط فرد یا افراد دریافت‌کننده این پیام، کلید رمزگذاری را بدانند، می‌توانند به محتوای واقعی آن دست پیدا کنند. اگر مخاطب شما هم پاسخ خود را با استفاده از همین کلید رمزنگاری ارسال کند تنها شما و افرادی که این کلید رمزگذاری را دارند، می‌توانند محتوا پیامتان را متوجه شوند.

رمزگذاری https چیست؟

رمزگذاری https برای دو منظور استفاده می‌شود: تایید هویت و رمزگذاری ارتباط.

۱- تایید هویت

برای اینکه یک ارتباط امن بین مرورگر شما و سرور یک وب‌سایت برقرار شود، نوع خاصی از کلیدها رمزنگاری استفاده می‌شوند. این کلیدها شامل کلید‌های عمومی (Public key) و کلید‌های خصوصی (Private key) هستند. کلید‌های عمومی به‌صورت پیش‌فرض روی مرورگرها و سرورها نصب هستند و یا نصب می‌شوند. کلیدهای هم خصوصی فقط و فقط روی سرور نصب می‌شوند.

پیام‌ها با استفاده از یک کلید عمومی رمزگذاری می‌شوند. رمزگشایی این اطلاعات فقط با داشتن کلید‌ خصوصی ممکن است.

هنگامی که برای مثال شما به وب‌سایت تجارت‌نیوز که از این پروتکل برای تامین امینت کاربران خود استفاده می‌کند، مراجعه می‌کنید، مرورگر شما در ابتدا مجوزهای سایت (Certificates) را از سرور تجارت‌نیوز دریافت می‌کند.

سایت تجارت‌نیوز از شرکت Unizeto Technologies S.A تاییدیه گرفته است. فهرستی از این تاییدیه‌ها همراه با کلید‌های عمومی هر مجوز، به‌صورت پیش‌فرض در هر مرورگر نصب هستند.

اگر سایتی از مجوزی استفاده کند که در این فهرست مورد اعتماد مرورگر وجود نداشته باشد، پیامی مبنی بر ناامن بودن سایت به کاربر نشان می‌دهد و توصیه می‌کند که وارد سایت نشوید.

۲- رمزگذاری

وقتی مرورگر مجوز سایت را تایید کرد، یک کلید رمزگذاری برای این ارتباط یا کلید جلسه (Session key) تولید می‌کند. سپس این کلید را با استفاده از کلید‌های عمومی رمزگذاری می‌کند و به سرور می‌فرستد.

پس از این کار، سرور این پیام را با استفاده از کلید خصوصی خود باز می‌کند و کلید ارتباط یا کلید جلسه را می‌خواند.

توجه داشته باشید که کلید خصوصی فقط و فقط در اختیار سرور است و اگر فردی در میانه راه این پیام را بدزدد، نمی‌تواند پیام را رمزگشایی و کلید ارتباطی بین کامپیوتر شما و سرور را به دست بیاورد.

وقتی سرور کلید جلسه را که توسط مرورگر شما تولید شده است، دریافت کرد، پیامی را با استفاده از این کلید جلسه رمزگذاری کرده و به کامپیوتر شما می‌فرستد. در این مرحله مرورگر شما متوجه می‌شود که یک ارتباط امن با استفاده از این کلید با سرور ایجاد شده است.

به این کار اصطلاحا دست دادن (Handshake) گفته می‌شود.

کلید ارتباط یا همان کلید جلسه، کلیدی است که با استفاده از آن مرورگر شما و سرور به رمزگذاری و رمزگشایی پیام‌های مبادله‌شده می‌پردازند و ارتباط را امن می‌کنند.

درگاه‌های پرداخت اینترنتی

درگاه‌های پرداخت اینترنتی در حالت کلی به دو صورت هستند. درگاه‌های مستقیم و درگاه‌های غیرمستقیم.

درگاه‌های پرداخت اینترنتی مستقیم

درگاه‌های پرداخت اینترنتی مستقیم معمولا توسط خود بانک‌ها یا شرکت‌های زیرمجموعه بانک‌ها ساخته می‌شوند. این درگاه‌ها مستقیما به بانک‌ها متصل هستند و مستقیما تراکنش‌ها را انجام می‌دهند.

ساخت چنین درگاه‌هایی مجوزها و پشتیبانی فنی زیادی لازم دارند. به همین چنین درگاه‌هایی را معمولا شرکت‌های بزرگ یا خود بانک‌ها ایجاد می‌کنند. درگاه‌هایی مثل گوگل پی (Google Pay) و اپل پی (Apple Pay) از این نوع هستند.

در ایران ۱۲ شرکت وجود دارند که درگاه پرداخت اینترنتی مستقیم ارائه می‌دهند. این شرکت‌ها باید از طرف بانک مرکزی مجوز فعالیت داشته باشند.

اگر تاکنون پرداخت الکترونیکی انجام داده باشید، نام برخی از این درگاه‌های پرداخت مستقیم را احتمالا مشاهده کرده‌اید. مثل درگاه به‌پرداخت بانک ملت یا بانک پارسیان.

در این حالت معمولا سایت پذیرنده از شما می‌خواهد که درگاه پرداخت موردنظر خود را انتخاب کنید. بعد از کاربر به این درگاه پرداخت ارجاع داده می‌شود. این شرکت‌ها معمولا به‌ازای تراکنش‌هایی که از طریق آن‌ها انجام می‌شود، کارمزدی از سوی بانک دریافت می‌کنند.

درگاه‌های پرداخت مستقیم چند سالی است جهت اعمال نظارت‌ها و جلوگیری از تقلب و سوءاستفاده تحت دامنه شاپرک فعالیت می‌کنند.

درگاه‌های پرداخت اینترنتی غیرمستقیم

درگاه‌های پرداخت الکترونیکی غیرمستقیم توسط شرکت‌های کوچک ارائه می‌شوند. تعداد این درگاه‌های پرداخت در ایران زیاد است. این درگاه‌های پرداخت، مستقیما با سیستم بانکی در ارتباط نیستند.

وقتی پرداختی به این شرکت‌ها ارجاع داده می‌شود آن‌ها پرداخت را به یکی از درگاه‌های پرداخت مستقیم هدایت می‌کنند و در نهایت شما مشخصات کارت خود را در صفحه‌ای وارد می‌کنید که توسط یکی از این شرکت‌های پرداخت مستقیم ایجاد شده و زیر دامنه shaparak.ir قرار دارد.

چه تفاوتی بین درگاه‌های پرداخت مستقیم و غیرمستقیم وجود دارد؟

فرض کنید شما به‌تازگی یک وب‌سایت اینترنتی برای فروش برخی خدمات راه‌اندازی کرده‌اید. برای اینکه بتوانید هزینه خدمات خود را دریافت کنید، لازم است یک ابزار پرداخت در سایت خود قرار دهید.

برای اینکه بتوانید سایت خود را به یک درگاه پرداخت مستقیم وصل کنید، کارهای اداری پیچیده و طولانی لازم است.

سایت شما باید نشان تاییدیه نماد اعتماد الکترونیکی و مجوز فعالیت صنفی داشته باشید و از طرف سیستم بانکی هم باید تاییدیه فعالیت بگیرید. البته چند مورد دیگر همچون داشتن وب‌سایت طراحی‌شده و رعایت قوانین جمهوری اسلامی نیز وجود دارند که بدیهی هستند.

دریافت این مجوزها معمولا زمان‌بر و هزینه‌بر است. به همین دلیل معمولا فقط شرکت‌های بزرگ سراغ استفاده از درگاه‌های پرداخت مستقیم می‌روند. اگر پرداخت‌ها از طریق یک درگاه پرداخت مستقیم انجام شوند، کارمزدی ندارند.

اما برای اینکه یک درگاه پرداخت غیرمستقیم در سایت خود ایجاد کنید، به این مجوزها و کارهای اداری پیچیده احتیاجی نیست.

فقط کافی است یک اسکن از کارت ملی و شناسنامه خود را در هنگام ثبت‌نام در سایت این شرکت‌های پرداخت اینترنتی غیرمستقیم ثبت کنید. با این کار فقط پس از ۲۴ ساعت درگاه پرداخت شما فعال خواهد بود.

البته این نکته را هم باید در نظر داشته باشید که درگاه‌های پرداخت اینترنتی غیرمستقیم در هر تراکنش بین ۱ تا ۲.۵ درصد از مبلغ تراکنش را به‌عنوان کارمزد دریافت می‌کنند.

چنین درگاه‌هایی این مزیت را هم دارند که ممکن است هم‌زمان با چندین درگاه پرداخت اینترنتی مستقیم در ارتباط باشند. در نتیجه هنگام پرداخت، اگر یکی از آن‌ها دچار مشکل شود، سیستم مشتری را به درگاه دیگری هدایت می‌کند. در نتیجه می‌توانید اطمینان داشته باشید که مشتری شما به‌راحتی پرداخت خود را انجام خواهد داد.

درگاه‌های پرداخت غیرمستقیم معمولا در بازه زمانی ۷۲ساعته با شما تسویه‌حساب می‌کنند.

نرم افزار crm دیدار، اتفاقی بزرگ برای کسب و کارهای کوچک و متوسط ◄