فریشته، ۳۲ ساله، هامبورگ-آلتونا. فروشگاه زعفران در یک تب باز است. سبد خرید ۱۸۰ یورو. قبل از کلیک روی «پرداخت»، اسکرول میکند پایین، دنبال آدرس قانونی فروشگاه میگردد، قفل HTTPS کنار آدرس مرورگر را چک میکند، نام فروشگاه را با کلمه «معتبر» سرچ میکند. چهارده ثانیه تصمیم میگیرد که میخرد یا تب را میبندد. این مقاله دقیقاً برای همین است: که فروشگاه شما این چهارده ثانیه را ببرد.
مشتری در ۱۴ ثانیه اول چه چیزی را چک میکند
اگر فقط یکی از این شش سیگنال نباشد، مشتری دیاسپورای آلمانی یا اتریشی ول میکند میرود. نه چون پارانوید است — چون ده سال ایمیل فیشینگ بهش یاد داده فروشگاههای بد دقیقاً اینجا گیر میکنند. لایههای بعدی توضیح میدهند پشت هر سیگنال چه چیزی هست و چرا Shopyai همه را اتومات تحویل میدهد.
لایه ۱ — SSL/TLS: همان قفل توی مرورگر
هر فروشگاه Shopyai خودکار گواهی SSL/TLS با رمزنگاری ۲۵۶ بیت میگیرد — حتی اگر دامنه اختصاصی مثل saffron-shop.de داشته باشید. گواهی هر ۹۰ روز خودکار از طریق Let's Encrypt تمدید میشود، شما کاری نمیکنید. درخواستهای HTTP در سمت سرور به HTTPS هدایت میشوند — حتی اگر مشتری روی لینک قدیمی از یک چت واتساپ ۲۰۲۴ کلیک کند.
بدون SSL، مرورگر کنار آدرس مینویسد «ایمن نیست» با رنگ قرمز. همین یک صفحه برای فراری دادن فریشته کافی است — و گوگل هم چنین فروشگاههایی را در رتبهبندی پایین میبرد. با SSL آیکون قفل ظاهر میشود، چیزی که مشتری سالهاست یاد گرفته نشانه «پرداخت اوکی» است.
لایه ۲ — DSGVO، DSG 2018 اتریش، EU DSA: سه کلمه که از مشتری محافظت میکند
Shopyai با سه قانون اصلی حفاظت داده اروپا مطابقت دارد:
- DSGVO اتحادیه اروپا — همه دادههای مشتری در مراکز داده تأیید شده آلمان. خروجی داده، حذف به درخواست، مدیریت رضایت و سوابق پردازش از پیش ساخته شدهاند. برای موارد استاندارد نیازی به وکیل نیست.
- DSG 2018 اتریش — Shopyai به عنوان شرکت اتریشی، اجرای ملی DSGVO را با تمام الزامات اضافی رعایت میکند. مهم اگر مشتری وینی یا سالزبورگی دارید.
- EU Digital Services Act (DSA) — قوانین شفاف، مکانیسم شکایت، تعدیل محتوا در سطح پلتفرم. از فوریه ۲۰۲۴ برای همه پلتفرمهای آنلاین در اتحادیه اروپا اجباری است.
عملاً یعنی: اگر مشتری بخواهد دادههایش حذف شود، در داشبورد روی «حذف داده مشتری» کلیک میکنید و دادهها از پایگاه داده، بکآپها (بعد از چرخش) و حافظه عکس پاک میشود — Shopyai این را اتومات مستند میکند. اگر کسی درخواست افشای DSGVO دهد، کل تاریخچه سفارش و مشتری را به صورت ZIP خروجی میگیرید. هر دو تکلیف هستند، نه ویژگی اضافی.
لایه ۳ — احراز هویت امن با 2FA
ورود از طریق یک سیستم مدیریت هویت تأیید شده با استانداردهای OAuth 2.0 / OIDC انجام میشود. ورود با Google، Facebook یا ایمیل — همه رمزنگاری شده. توکنهای امنیتی عمر محدود دارند و خودکار تازه میشوند. رمز عبور هرگز به صورت متن ساده ذخیره نمیشود بلکه با یک الگوریتم هش استاندارد صنعتی هش میشود.
برای صاحب فروشگاه و کارمندان، احراز هویت دو مرحلهای در دسترس است: اپ احرازکننده روی موبایل (Google Authenticator، Authy، 1Password). این از فروشگاه شما محافظت میکند حتی اگر کسی رمز شما را بداند — مثلاً چون سال ۲۰۱۸ همان رمز را در سایت دیگری استفاده کردید که بعداً هک شد. برای فروشگاهی با ۸٬۰۰۰ یورو فروش ماهانه، این پارانویا نیست، عقل سلیم است.
لایه ۴ — جداسازی چند-مستأجره: فروشگاههای کاملاً مجزا
Shopyai یک پلتفرم چند-مستأجره است — همه فروشگاهها از یک زیرساخت مشترک استفاده میکنند. اما هر فروشگاه کاملاً ایزوله است. هر کوئری پایگاه داده با shopId فیلتر میشود؛ هیچ صاحبی نمیتواند داده فروشگاه دیگر را ببیند، تغییر دهد یا حذف کند. کش و کارهای پسزمینه با کلید مستأجر اجرا میشوند. این جداسازی در هر دیپلوی توسط تستهای اتومات تأیید میشود — اگر تست نشتی پیدا کند، دیپلوی نمیرود.
برای فریشته در هامبورگ یعنی: سفارش او در فروشگاه زعفران هرگز اشتباهی به داشبورد فروشگاه دیگری در shopyai.ai نمیرسد — حتی اگر هر دو فروشگاه مشتریهایی با نام یکسان داشته باشند.
لایه ۵ — پرداخت امن با Stripe PCI-DSS Level 1
پرداختها از طریق Stripe انجام میشوند — دارای گواهی PCI-DSS Level 1، بالاترین استاندارد امنیتی صنعت پرداخت. Shopyai هیچ اطلاعات کارت اعتباری ذخیره نمیکند. وقتی فریشته کارت را وارد میکند، مستقیم به Stripe میرود و به صورت توکن برمیگردد — Shopyai هیچوقت شماره واقعی کارت را نمیبیند. امضای Webhook در هر بازخوانی Stripe تأیید میشود تا حمله مرد-میانی جلو گرفته شود.
روشهای پشتیبانیشده: کارت اعتباری (Visa، Mastercard، Amex)، Apple Pay، Google Pay، SEPA-Lastschrift، Klarna (در DE/AT). برای فروشگاههایی در افغانستان یا با مشتری دیاسپورا، HesabPay هم اضافی یکپارچه شده است (به روشهای پرداخت افغانستان مراجعه کنید).
لایه ۶ — اقامت داده در اتحادیه اروپا
همه دادهها — اطلاعات مشتری، سفارشها، داده محصول — در سرورهایی در مراکز داده تأیید شده آلمان ذخیره میشوند. عکسها روی یک شبکه CDN اروپایی با مسیریابی اروپا قرار دارند. هیچ انتقال دادهای به کشورهای ثالث برای عملکرد اصلی وجود ندارد. این تفاوت با Shopify (آمریکا/کانادا) یا هاستر ارزان WooCommerce روسی است — فروشگاه آنلاین شما به طور پیشفرض همه الزامات اروپایی را برآورده میکند.
سیگنال اعتماد ← تبدیل: چه چیزی واقعاً عوض میشود
امنیت احساس نیست، یک مکانیک تبدیل است. عددهای واقعی از سه فروشگاه دیاسپورا قبل و بعد از اضافه کردن سیگنال اعتماد:
| سیگنال اعتماد | بدون | با | افزایش تبدیل |
|---|---|---|---|
| قفل HTTPS | ۱.۸٪ | ۲.۴٪ | +۳۳٪ |
| + Impressum کامل | ۲.۴٪ | ۲.۸٪ | +۱۷٪ |
| + لوگوی Stripe در Checkout | ۲.۸٪ | ۳.۱٪ | +۱۱٪ |
| + بنر DSGVO تمیز | ۳.۱٪ | ۳.۳٪ | +۶٪ |
| + نظرات واقعی قابل دیدن | ۳.۳٪ | ۳.۸٪ | +۱۵٪ |
| اثر کل | ۱.۸٪ | ۳.۸٪ | +۱۱۱٪ |
برای فروشگاهی با ۱۲٬۰۰۰ بازدید ماهانه و سبد ۶۵ یورو: +۱٬۵۶۰ یورو در ماه فقط از سیگنالهای اعتماد تمیز. این بیشتر از هزینه پلن پریمیوم برای یک سال است.
سه لحظه واقعی شکست اعتماد
فریشته فروشگاه را میبیند، اسکرول میکند، Impressum پیدا نمیکند. میگردد «saffron-shop.de Impressum» — صفر نتیجه. تب را میبندد و فردا از Amazon میخرد، با اینکه زعفران آنجا بدتر است. ضرر: سفارش ۱۸۰ یورویی.
🤖 با Shopyai: Impressum در Onboarding خودکار ساخته میشود، فیلدهای اجباری توسط سیستم چک. فریشته در ۴ ثانیه همه چیز را پیدا میکند.
محمدرضا وارد داشبورد میشود. همان رمز ۲۰۱۷ را استفاده میکند که در یک فروم پارسال هک شده بود. بدون 2FA الان فروشگاه برای حملهگر باز است.
🤖 با Shopyai: در اولین ورود 2FA پیشنهاد میشود. محمدرضا QR را با Google Authenticator اسکن میکند — تمام. حملهگر با رمز قدیمی نمیتواند جلوتر بیاید.
یک مشتری مینویسد: «طبق ماده ۱۵ DSGVO، لطفاً همه دادهای که از من دارید برایم بفرستید.» بهاره ۳۰ روز فرصت دارد. در WooCommerce دستی یعنی: وکیل، استرس، سه آخر هفته کار.
🤖 با Shopyai: یک کلیک در داشبورد، خروجی ZIP داده مشتری، ایمیل به مشتری. در ۶ دقیقه تمام.
Shopyai در مقابل سلف-هاست در مقابل Shopify
سه راه برای راهاندازی امن فروشگاه — مقایسه صادقانه:
| جنبه | Shopyai | Shopify | WooCommerce سلف |
|---|---|---|---|
| SSL خودکار | ✅ بله | ✅ بله | ⚠️ دستی (Let's Encrypt) |
| اقامت داده EU | ✅ آلمان | ❌ کانادا/آمریکا | ⚠️ بسته به هاستر |
| افشای DSGVO تک-کلیک | ✅ بله | ⚠️ از طریق اپ | ❌ دستی |
| PCI-DSS Level 1 | ✅ Stripe | ✅ Shop Pay | ⚠️ ریسک پلاگین |
| 2FA برای صاحب | ✅ بله | ✅ بله | ⚠️ پلاگین لازم |
| جداسازی چند-مستأجره | ✅ تست-تأیید | ✅ بله | غیرقابل اعمال |
| بهروزرسانی امنیتی | ✅ خودکار | ✅ خودکار | ❌ خودتان |
فاصله با WooCommerce بزرگ است: آنجا شما مسئول هر پچ سرور، هر CVE پلاگین و هر بکآپ هستید. یک نصب میانگین WooCommerce بعد از ۱۲ ماه بدون نگهداری سه آسیبپذیری شناختهشده دارد — و صاحب فروشگاه فقط زمانی میفهمد که داده کارت اعتباری در یک Dump آنلاین میشود.
۵ ایراد — جواب صادقانه
بله، چون DSGVO و تکلیف Impressum از اولین فروش اعمال میشود. اخطار حقوقی برای نبود Impressum در DE/AT 800 تا 2,000 یورو هزینه دارد — حاشیه نصف سال را میبلعد.
برای موارد استاندارد نه — Shopyai قالب AGB، تولیدکننده اعلامیه حریم خصوصی و فیلد Impressum میدهد. برای موارد پیچیده (B2B با قرارداد پردازش)، چک یکبار با وکیل تخصصی حقوق IT میارزد (۲۰۰-۴۰۰ یورو).
Stripe ۹۹.۹۹۹٪ آپتایم دارد — یعنی حدود ۵ دقیقه قطعی در سال. در آن مدت Shopyai پیام خطا نشان میدهد و مشتری ۲ دقیقه بعد دوباره تلاش میکند. بدون از دست رفتن داده، بدون کسر دوگانه — Stripe idempotent است.
نه. دادههای حساس مانند شماره مالیاتی و شناسه USt با رمزنگاری استاندارد صنعتی ذخیره میشوند، اسنپشات بکآپ هم همینطور. دسترسی فقط برای حساب شما و سوپر-ادمین در موارد پشتیبانی — هر دو لاگ میشود.
اگر فروشگاه WordPress شما در ۶ ماه گذشته بهروزرسانی پلاگین امنیتی گرفته، چیزی نمیخواهد. اگر نه، احتمالاً CVE باز دارید. مهاجرت به Shopyai ۲-۳ هفته با Setup، ایمپورت عکس و ریدایرکت URL طول میکشد.
۲ تله — چه چیزی میتواند خراب شود
اگر Facebook Pixel، Google Ads یا TikTok Pixel جاگذاری میکنید، باید قبل از بارگذاری پیکسلها رضایت کوکی بگیرید. Shopyai بنر رضایت تعبیهشده دارد — اما اگر اسکریپتهای خارجی را دستی از طریق ویرایشگر HTML میچسبانید، آن بنر را دور میزنید. تله کلاسیک اخطار حقوقی ۲۰۲۴-۲۰۲۶.
یک خانواده دیاسپورا اغلب یک ورود را شیر میکند: دختر Setup، پدر سفارشها، داماد ارسال. این با یک رمز شیرشده کار نمیکند — اگر هر عضوی ورود را به شخص ثالث بدهد، همه چیز باز است. به جایش: Multi-Staff راهاندازی کنید با ایمیل جدا برای هر نفر و 2FA جداگانه.
بعد از ۶ ماه چه میشود
امنیت یک ویژگی نیست — پیشنیاز است که فریشته در هامبورگ اصلاً پرداخت کند. هر کدام از شش لایه (SSL، DSGVO، 2FA، چند-مستأجره، Stripe، سرور EU) یک لحظه شکست اعتماد را حذف میکند. روی هم میشود افزایش تبدیل +۱۱۱٪.
نتیجهگیری
شما فقط زعفران، فرش یا تزیین عروسی نمیفروشید — شما اعتماد میفروشید. مشتری دیاسپورا در هامبورگ ۱۸۰ یورو به شما میدهد نه چون فروشگاهتان قشنگ است، بلکه چون در چهارده ثانیه شش سیگنال اعتماد پیدا کرده. SSL، DSGVO، Stripe، سرور EU، 2FA، Impressum تمیز — همه با Shopyai خودکار. شما میتوانید روی چیزی تمرکز کنید که واقعاً بلدید: زعفران از هرات، فرش از مزار، چای از تبریز. بقیه را پلتفرم انجام میدهد.
سؤالات متداول
دادههای مشتری من کجا ذخیره میشود؟
همه دادههای مشتری در سرورهایی در مراکز داده تأیید شده آلمان ذخیره میشوند. عکسها روی یک شبکه CDN اروپایی با مسیریابی اروپا قرار دارند. هیچ انتقال دادهای به کشورهای ثالث برای عملکرد اصلی وجود ندارد. این الزامات اقامت داده DSGVO را کامل برآورده میکند.
آیا Shopyai اطلاعات کارت اعتباری ذخیره میکند؟
نه. کل پردازش پرداخت از طریق Stripe (دارای گواهی PCI-DSS Level 1) انجام میشود. وقتی مشتری کارت را وارد میکند، مستقیم به Stripe میرود و توکن برمیگردد. Shopyai نه شماره کارت، نه CVC، نه تاریخ انقضا را میبیند.
اگر فروشگاه را حذف کنم چه میشود؟
با حذف فروشگاه، همه دادهها برای همیشه پاک میشوند — محصولات، سفارشها، داده مشتری، عکسها. بکآپها هم بعد از چرخش (حداکثر ۳۰ روز) پاک میشوند. این فرآیند برگشتناپذیر است و طبق حق حذف (ماده ۱۷ DSGVO) است. قبلش هشدار و تأیید با مهلت ۷ روزه میگیرید.
میتوانم 2FA را برای کارمندانم اجبار کنم؟
بله. در داشبورد، تنظیمات ← تیم، میتوانید 2FA را برای همه کارمندان اجباری کنید. هر کسی 2FA فعال نکرده باشد، نمیتواند وارد شود. توصیه: 2FA را از کارمند دوم به بعد اجباری کنید، چون آن وقت ردپای audit معنادار میشود.
آیا Shopyai برای مشتری B2B هم با DSGVO مطابق است؟
برای B2B استاندارد (رستوران، هتل کوچک، عمدهفروش) بله — Shopyai قالب AGB برای زمینه B2B هم میدهد. برای صنایع تنظیمشده (داروسازی، خدمات مالی، مشتری بخش عمومی) علاوه بر این به قرارداد پردازش (AVV) نیاز دارید — به درخواست از طریق پشتیبانی در ۴۸ ساعت در دسترس است.
