Оплата в один клик из QR-меню через iyzico Inline Checkout

Стейк-хаус на 45 столов в Анкаре (Чанкая) хотел убрать мёртвые 7-9 минут между "счёт, пожалуйста" и выходом гостя. Цель — не только скорость, но и автоматическая генерация счёт-фактуры PDF с раздельным НДС по турецкому законодательству.

Почему Inline Checkout? 3DS v2 и область PCI

Inline Checkout держит форму карты в iframe iyzico — ваш сервер никогда не касается PAN. Вы попадаете в PCI DSS SAQ-A: годовой аудит примерно 2 500-4 000 USD исключается. 3DS v2 включается автоматически, frictionless flow в 78% транзакций.

Архитектура: клиент жмёт "Оплатить" → POST на /api/payments/initialize → backend получает checkoutFormContent → открывается iframe.

Идемпотентность webhook

iyzico стреляет webhook 3-7 раз для одного paymentId. Решение: UNIQUE-ограничение на paymentId. При дубликате (23505) возвращайте 200 no-op.

• Проверка подписи: HMAC-SHA256 с merchant secret.
• Окно replay: 5 минут.
• Маппинг статуса: SUCCESS → paid; FAILURE → retryable.

Счёт с раздельным НДС (еда 10%, алкоголь 20%)

Турецкое законодательство требует раздельных строк: еда НДС 10%, алкоголь НДС 20%. Счёт на 480 TL делится на 320 TL еды (29,09 TL НДС) и 160 TL алкоголя (26,67 TL НДС). PDF — @react-pdf/renderer, совместим с e-Arşiv.

FAQ

Какая комиссия iyzico? Стандартная 2,49% + 0,25 TL/транзакция; договорная до 1,99% при обороте свыше 100K TL/мес.

Безопасно ли хранение карт? iyzico возвращает cardUserKey/cardToken — никаких PAN у мерчанта, вне PCI.

Скорость возвратов? В тот же день — мгновенно; после T+1 — 2-7 рабочих дней.

Было полезно? Поделитесь.