Como criar o app checkout transparente do Mercado Pago no seu e-commerce
O checkout transparente do Mercado Pago permite processar pagamentos com Pix, cartão de crédito, cartão de débito e boleto bancário dentro do próprio site ou app, sem enviar quem compra para uma página externa. A criação envolve três etapas centrais: obter as credenciais de API no painel de desenvolvimento, instalar o SDK adequado ao projeto e configurar o fluxo de pagamento no código — tanto no front-end quanto no back-end.
Ao longo deste artigo, você vai encontrar o passo a passo completo dessa integração: desde a obtenção das credenciais até a validação no ambiente sandbox, passando pela tokenização de dados de cartão, o tratamento dos status de resposta da API e as boas práticas de segurança que protegem quem compra e quem vende.
O que é o checkout transparente e por que usá-lo no seu app
O checkout transparente mantém todo o fluxo de pagamento dentro do ambiente da loja. Quem compra preenche os dados do cartão, gera o Pix ou emite o boleto sem sair do site — a experiência fica coesa do início ao fim.
Isso contrasta com o modelo de checkout redirect, no qual a pessoa compradora é levada para o site do meio de pagamento para concluir a transação e depois retorna à loja. Essa mudança de contexto tende a aumentar o abandono de carrinho, pois pode gerar dúvidas sobre segurança e interromper o fluxo de compra.
O Mercado Pago oferece o checkout transparente com suporte a cartão de crédito, cartão de débito, Pix e boleto bancário. Cada meio de pagamento tem seu próprio fluxo de integração na API, o que dá controle total sobre a aparência e o comportamento do formulário de pagamento.
Credenciais de API do Mercado Pago: como obter e configurar
Antes de escrever qualquer linha de código, é preciso ter em mãos as credenciais que autorizam a comunicação entre o seu app e a API do Mercado Pago. Veja como obtê-las e entender os dois ambientes disponíveis.
Access Token e Public Key: onde encontrar
Para obter as credenciais, é necessário ter uma conta no Mercado Pago e acessar o painel de desenvolvedores em developers.mercadopago.com.br. Lá, ao criar uma aplicação, o painel exibe dois valores fundamentais: a Public Key e o Access Token.
Cada uma dessas credenciais tem uma função distinta. A Public Key é utilizada no front-end para tokenizar os dados do cartão via SDK — ela pode aparecer no código do navegador sem risco. O Access Token, por outro lado, é a chave de autorização do back-end: com ela, o servidor processa pagamentos e consulta transações.
Expor o Access Token no código do front-end é um erro grave de segurança. Qualquer pessoa com acesso ao código-fonte da página poderia usá-lo para realizar operações na conta. Esse valor deve existir apenas em variáveis de ambiente do servidor.
Diferença entre ambiente sandbox e produção
O Mercado Pago oferece dois conjuntos de credenciais: um dedicado ao ambiente sandbox (testes) e outro para produção. No ambiente de testes, todas as transações são simuladas, sem movimentação de valores reais, permitindo que empresas validem todo o fluxo de pagamento com segurança antes de operar oficialmente. Essa etapa de testes é especialmente importante para negócios que precisam garantir conformidade e funcionamento correto dos sistemas antes de iniciar operações financeiras reais.
As credenciais de sandbox são geradas de forma automática ao criar uma aplicação no painel. Já as credenciais de produção precisam ser ativadas após o processo de homologação, que verifica se a integração atende aos requisitos da API.
A troca entre os dois ambientes se resume a substituir as credenciais no código. Por isso, armazená-las em variáveis de ambiente desde o início tende a tornar essa transição mais segura e organizada.
Como instalar o SDK e criar o fluxo de checkout transparente
Com as credenciais configuradas, o próximo passo é integrar o SDK do Mercado Pago ao código do seu app ou site. O fluxo se divide em duas etapas: capturar e tokenizar os dados do cartão no front-end e processar o pagamento no back-end.
Instalação do SDK no projeto
O Mercado Pago disponibiliza SDKs para diferentes contextos. No front-end, o MercadoPago.js pode ser carregado via tag de script no HTML ou instalado como pacote npm. No back-end, há bibliotecas oficiais para Node.js, PHP, Python e Java, instaláveis pelos gerenciadores de pacotes de cada linguagem (npm, Composer, pip e Maven, nessa ordem).
A escolha do SDK de back-end depende da stack do projeto. Todos seguem a mesma lógica: autenticar com o Access Token e fazer chamadas à API de pagamentos. A documentação oficial mantém exemplos atualizados para cada linguagem.
Tokenização do cartão no front-end
Tokenização é o processo pelo qual os dados sensíveis do cartão — número, CVV e validade — são convertidos em um token seguro pelo MercadoPago.js antes de qualquer envio ao servidor da loja. Esse token representa o cartão sem expor as informações reais.
O fluxo funciona assim: o formulário de pagamento captura os dados do cartão no navegador, o SDK os envia para os servidores do Mercado Pago e retorna um token temporário. O back-end da loja recebe apenas esse token — jamais os dados brutos do cartão.
Para Pix e boleto, esse processo não existe. Nesses casos, o pagamento é criado de forma direta no back-end, com os dados do pedido e as informações do comprador, sem passar por tokenização no front-end.
Envio do pagamento pelo back-end
Com o token em mãos, o back-end monta a requisição de pagamento. Os campos obrigatórios incluem o token do cartão, o valor da transação, a descrição do produto, o e-mail de quem compra e o número de parcelas. Essa requisição é enviada ao endpoint de pagamentos da API do Mercado Pago usando o Access Token como autenticação.
A API retorna um objeto com o status do pagamento, que pode assumir três valores principais:
- approved: pagamento aprovado, o pedido pode ser confirmado
- pending: aguardando confirmação (comum em Pix e boleto)
- rejected: pagamento recusado, com um código de erro que indica o motivo
Cada status deve gerar um comportamento diferente na interface. Aprovação confirma o pedido; pendência exibe instruções para o Pix ou boleto; rejeição informa o motivo e oferece a opção de tentar de novo com outro cartão.
Testes em sandbox: como validar o checkout transparente antes de publicar
O ambiente sandbox reproduz o comportamento real da API sem movimentar dinheiro. Antes de ativar as credenciais de produção, vale cobrir todos os cenários possíveis de pagamento.
A documentação do Mercado Pago fornece números de cartão de teste para simular diferentes resultados: aprovação, recusa por saldo insuficiente, recusa por dados inválidos e pagamento pendente. Pix e boleto também podem ser testados no sandbox, com a geração de QR code e código de barras fictícios.
Os cenários recomendados para validação incluem:
- Pagamento aprovado com cartão de crédito (parcelado e à vista)
- Pagamento recusado por cartão inválido
- Pagamento recusado por saldo insuficiente
- Pagamento pendente via boleto bancário
- Geração e expiração de QR code Pix
- Envio de dados incompletos no formulário (validação de campos)
- Timeout de conexão com a API
Cobrir esses cenários ajuda a fazer com que a interface informe quem compra de forma adequada em qualquer situação. Uma integração que trata apenas o caminho feliz tende a gerar confusão quando algo sai fora do esperado.
Boas práticas de segurança e experiência de compra no checkout transparente
A qualidade de um checkout transparente não depende só de a integração funcionar — depende também de proteger os dados de quem compra e de oferecer uma experiência clara durante o processo de pagamento.
As práticas abaixo cobrem tanto a camada técnica quanto a de interface:
- HTTPS obrigatório: qualquer página que exiba um formulário de pagamento deve operar sob HTTPS. Conexões HTTP expõem os dados trafegados
- Não armazenar dados de cartão no servidor: a tokenização resolve essa questão — o servidor da loja nunca precisa lidar com o número do cartão
- Implementar 3DS quando disponível: a autenticação 3D Secure adiciona uma camada de verificação pelo banco emissor, reduzindo chargebacks
- Feedback visual durante o processamento: exibir um indicador de carregamento enquanto a API processa o pagamento evita cliques duplicados e transmite segurança
- Formulário adaptado para dispositivos móveis: campos de entrada com teclado numérico para o número do cartão, tamanho de fonte legível e botões com área de toque adequada
Além dessas práticas, vale revisar as políticas de uso da API do Mercado Pago antes de publicar. Algumas configurações, como o limite de parcelas e a exibição de meios de pagamento, podem ser ajustadas nas preferências da aplicação no painel de desenvolvedores.
Perguntas frequentes sobre o checkout transparente do Mercado Pago
Qual a diferença entre checkout transparente e Checkout Pro do Mercado Pago?
O checkout transparente mantém todo o fluxo de pagamento dentro do site da loja — quem compra nunca sai do ambiente da loja. O Checkout Pro redireciona para o ambiente do Mercado Pago, onde a pessoa pode fazer login com sua conta e usar benefícios como o Mercado Crédito. O checkout transparente oferece mais controle visual e de experiência; o Checkout Pro tem uma configuração com menos etapas e traz funcionalidades prontas.
Preciso saber programar para criar o checkout transparente?
A integração via API e SDK exige conhecimentos de desenvolvimento web, tanto no front-end quanto no back-end. Para quem usa plataformas como Nuvemshop ou WooCommerce, existem plugins oficiais que configuram o checkout transparente sem precisar escrever código. Avaliar qual caminho se encaixa melhor no projeto é o primeiro passo antes de começar.
O checkout transparente do Mercado Pago aceita Pix e boleto?
Sim. Os meios de pagamento suportados incluem Pix, boleto bancário, cartão de crédito e cartão de débito. Para o Pix funcionar, é necessário ter uma chave Pix cadastrada na conta do Mercado Pago vinculada à aplicação. Cada meio de pagamento tem seu próprio fluxo de integração na API.
Como testar o checkout transparente sem cobrar de verdade?
O ambiente sandbox permite testar o fluxo por completo sem movimentar valores reais. Para isso, basta usar as credenciais de sandbox geradas no painel de desenvolvedores. A documentação oficial do Mercado Pago fornece números de cartão específicos para simular aprovações, recusas e pagamentos pendentes.
