Ein-Klick-Zahlung vom QR-Menü via iyzico Inline Checkout

Ein Steakhouse in Ankara Çankaya wollte die toten 7-9 Minuten zwischen "Rechnung bitte" und dem Verlassen des Lokals eliminieren. Ziel war nicht nur Geschwindigkeit, sondern auch automatisierte Rechnung-PDFs mit türkischer MwSt-Trennung.

Warum Inline Checkout? 3DS v2 und PCI

Inline Checkout hält das Kartenformular im iyzico-iframe — Ihr Server berührt nie die PAN. Damit fallen Sie in PCI DSS SAQ-A: jährliche Audit-Kosten von rund 2.500-4.000 USD entfallen. 3DS v2 läuft automatisch, frictionless flow bei ca. 78% der Transaktionen.

Architektur: Kunde tippt "Zahlen" → POST an /api/payments/initialize → Backend holt checkoutFormContent von iyzico → iframe öffnet sich.

Webhook-Idempotenz

iyzico feuert Webhooks 3-7 Mal für dieselbe paymentId. Lösung: UNIQUE-Constraint auf paymentId. Bei Duplicate (23505) gibt der Endpoint 200 zurück.

• Signaturprüfung: HMAC-SHA256 mit Merchant-Secret.
• Replay-Fenster: 5 Minuten.
• Status-Mapping: SUCCESS → paid; FAILURE → retryable.

MwSt-getrennte Rechnung (Speisen 10%, Alkohol 20%)

Türkisches Recht verlangt getrennte Rechnungspositionen: Speisen 10% MwSt, Alkohol 20% MwSt. Eine Rechnung von 480 TL splittet sich in 320 TL Speisen (29,09 TL MwSt) und 160 TL Alkohol (26,67 TL MwSt). PDF-Erstellung mit @react-pdf/renderer, e-Arşiv-konform.

FAQ

Wie hoch ist die iyzico-Provision? Standardrate 2,49% + 0,25 TL/Transaktion; ab 100K TL Monatsvolumen verhandelbar auf 1,99%.

Ist Card Storage sicher? iyzico gibt cardUserKey/cardToken zurück — kein PAN beim Merchant, kein PCI-Scope.

Wie schnell sind Rückerstattungen? Am selben Tag sofort; ab T+1 bucht die Bank in 2-7 Werktagen.

Hilfreich? Teilen Sie es.