מגבלות מהירות ואנטי-ניצול

1) מהי מהירות ומדוע היא נחוצה

• להפחית הונאה וניצול של בונוסים/פרומואים,
• להגן על תשתיות תשלומים מפני ”סערות” של מגשים מחדש,
• שמירה על המרה בריאה על ידי המרת ניסיונות מפוקפקים לאתגר (3DS/SCA) במקום ”כישלון קשה” במקום האפשר.

ניקוד משלים בקרת מהירות, AVS/CVV, 3DS2/SCA, וניתוב חכם.

2) אילו ישויות להגביל (סקופים)

• ישויות תשלום: ”card _ token” (כספת/רשת), ”bin”, ”issuer”, ”psp _ road”.
• מותאם אישית: ”חשבון _ id',” kyc _ level ”,” דוא ”ל/טלפון”.
• טכני: "התקן _ id' (טביעת אצבע/SDK)," ip "," asn', "session _ id'.
• הקשר עסקי: "בונוס _ id', 'קמפיין _ id',' קאנטרי ',' c 7995 'subtype (הפקדה/פלט).
• פיננסית: ”סכום _ דלי” (מיקרו/בינוני/גדול), ”מטבע”, ”תשלום _ שיטה”.

3) חלונות ודלפקים

חלון קבוע (T = 15m/1h/24h) - פשוט, אך רגיש לגבולות.
חלון הזזה - ליתר דיוק, נחשב במרווח ”גלישה”.
דלי דולף/דלי טוקן - חלקים החוצה פרצים, להגדיר רוחב פס יציב.
יחד: פרץ (פרץ קצר) + מתמשך (זרם ארוך).

• 3 ניסיונות אישור תוך 15 דקות, 10 בתוך 24 שעות.
• card _ token: 2 ירידות רצופות ללא 3DS; השלישי הוא 3DS חובה.
• ”ip”: vall 5 'card _ token' לשעה (המכונה קפצ 'ה/בלוק).
• "account _ id': 2 הפקדות בוטלו ברציפות; עוד - kuldown 1 שעה.

4) אלגוריתמים מגבילים (קצרים)

• לאתחל ”קיבולת” ו ”refill _ rate”.
• לפני כל ניסיון, ”להוציא” 1 אסימון; אם אין אסימונים - אתגר/ירידה.

• התור דולף בקצב קבוע; אירועים נכנסים עולים על גדותיהם - מצערת.

• 1 חוזר: 2-5 min = 2: 10-20 min = 3: 1-2 h = stop, או העברה לשיטה חלופית.

5) מדיניות החלטה

• הרשה: סיכון נמוך, בתוך סף.
• אתגר: מעבר לסף ה ”רך” 3DS/SCA/captcha/KBA ‏ (שאלות). ‏
• מצערת: הגבלת זמנית (התקררות) עם UX שקוף.
• ירידה: הפרות ברוטו (חיפוש המוני בכרטיסים, בריכות בוט, שימוש בבונוס).
• ניתוב מחדש: שינוי של PSP/method (למשל. A2A עם 91/96 'ספייק בהוצאה.

מיני-מטריצות של דוגמאות

'dvice _ id' מתרומם ל-3 תוך 15 דקות ו- 'cvv = N' la 2 # Desure + Captcha.
card _ token '2 רך דעיכה = 3DS-challenge (נדרש).
”ip 'ip' 5 'eccount _ id” ב 30 דקות = מצערת 30 דקות + CYC לבדוק.
account _ ideposit-משיכה-הפקדה ב 10 דקות (קרוסלה) = אתגר או הגבלת כמות.

6) מהירות לפיקדונות, נסיגות ומשיכות

• הגן על ”מיקרו מילוי” (הרבה עסקאות קטנות): הגבלה על כמות ותחלופה כוללת של T.
• עם הרצף '05 '/' 14 '/' 54' - לעצור את ”החיפוש” של פרטים, לתרגם ל-3DS.

• לפרסם את התורים CIT ו MIT. עבור MIT, השתמש בחלונות רכים של T + 1/T + 24h.
• רך-דעיכה 'SCA נדרש' = מיד 3 DDS, לא לשרוף ניסיונות.

• הגבלת הפרט עבור כמות/תדר: למשל 2 יציאות/24h ו-N לכל כמות/שבוע.
• הסולם: ככל שהצ 'ק גבוה יותר, כך הגבולות גבוהים יותר.
• גילוי ”מעגל”: הפקדה מהירה ומשיכה מיידית - סקירה ידנית/hold.

7) פרומו נגד התעללות ובונוסים

per-cample caps: ”bonus _ id' did' lood X actions על” התקן _ id'/” ip ”/” תשלום _ טביעת אצבע ”.
"Plugs' (העברת כספים בין חשבונות): ניתוח גרף של כרטיסים משותפים/התקנים IP/.
חלונות מגניבים: לאחר הפקדת בונוס - איסור על תפוקה מיידית, כללים שקופים ב TOS.
סנקציות ברמה: מנעולים זמניים ל ”לנצח”, עם רישום של סיבות.

8) ארכיטקטורה: היכן לחיות במהירות-כללים

שער בזמן אמת (בתזמור): פתרון סגר 50-100 ms.
אחסון נגד: בזיכרון (Redis/KeyDB) + ”סיכומים” לטווח ארוך (DWH).
פיכסטור: חלונות בודדים/אגרגטים (15m/1h/24h/7d).
כלל מנוע + ML ניקוד: ”רשת ביטחון” כללים על גבי המודל.
דגלי קונפיג: ”להדליק” 3DS, ”מחמיר יותר באזור X”, ”להשהות PSP-A”.
אידמפוטנטיות: הגנה מפני שכפולים בחזרות/פסקי זמן.

9) פסאודו קוד של כללים (סקיצה)

pseudo on payment_attempt(ctx):
s = features(ctx) // device/ip/account/bin/score/avs/cvv/history if counter(device, 15m) >= 3 and cvv_fail(device, 15m) >= 2:
return DECLINE(reason="velocity_device_cvv")
if soft_declines(card_token, 1h) >= 2:
return CHALLENGE_3DS()
if uniq_accounts(ip, 30m) >= 5:
return THROTTLE(ttl=30m)
if score > T2 and velocity(account, 1h) > Vmax:
return DECLINE(reason="high_risk_burst")
return ALLOW

10) תבניות UX (לא שבירת המרה)

מסרים ברורים: "יותר מדי ניסיונות בזמן קצר. אנא נסה 15 דקות או לאשר עם הבנק.
חזור על כפתור מאוחר יותר עם טיימר.
מציע חלופות: ארנקים A2A/local בעת חניקה.
Auto-3DS בלי להיכנס מחדש לפרטים עם SCA-רך.
Captcha רק מבחינת נקודה (על ידי אותות IP/ASN/bot), לא לכולם.

11) ציות ופרטיות

GDPR/PII: לאחסן מזהים מינימליים (חשיש התקן, אסימונים כרטיס, last4), מדיניות שקופה.
PCI DSS: אין PAN/CVV ביומנים; אירועי מהירות ללא נתונים רגישים.
PSD2/SCA: להמיר מופרזים לאתגר איפה מתאים, במקום כשלים מוחלטים.

12) מטריצות, התראות, SLO

• שיעור האישור (כללי ומתי מופעלים הכללים).
• False Positive Rate of Welocity Rules (נתח של בלוקים ישרים של Lought).
• מספר ”סופות” של נסיגות וזמן ההחלמה הממוצע.
• אחוז הירידה באתגר העברות עם הצלחה.
• קצב גבס במקטעים שבהם הגבולות עבדו (אנחנו מצפים).

• ספייק '05/14/54' + עלייה בניסיונות> X ב 15 דקות באשכול BIN/ASN.
• Burt '91/96' = הרמת סף T1 + ניתוב ב- PSP-B.
• כללי FP-rate> המטרה (לדוגמה, 1. 5 × שבוע חציוני).

• תמיסת מהירות מדורגת 100ms p95.
• אחוז התשלומים המוצלחים מועברים ל-3DS במקום להיכשל במטרה.

13) אנטי דפוסים

מגבלה כוללת אוניברסלית לכל השווקים והלקוחות.
Block by 'AVS = U/S/G' in states שבו AVS לא עובד כרגיל.
אל תפריד בין CIT/MIT - שובר מנויים/חוזר.
רכבת מחדש ללא עצבנות ואידמפוטנטיות - לוקח וסערות.
הסתר את הסיבות לסירוב - תמיכה ורעילות הולכים וגדלים.

14) רשימת מימושים

[ מפת ] (scopes) וחלונות (15m/1h/24h/7d).

[ בחירת אלגוריתם ]: הזזה + דלי אסימון עבור התפרצויות.

[ ] חזרה נורמליזציה: חזרה + ג 'יטר, בנפרד CIT/MIT.

[ אינטגרציה ] עם 3DS/SCA: אתגר אוטומטי לשעונים רכים.

[ ] גבולות נפרדים למסקנות ולבונוסים; גרף בדיקת מערכות יחסים.

[ ] תצפית: KPI/התראה/כלל ביקורת לוחות מחוונים.

[ ] תבניות הודעות UX ושיטות חלופיות.

[ ] מדיניות PCI/GDPR: אסימונים, מיסוך, מזעור PII.

[ ] בדיקות סף A/B על ידי שוק/BIN/ASN ופרופילי לקוחות.

[ ] חוברות משחקים: Issuer/PSP Direction, Bot Spike.

15) סיכום

גבולות מהירות אפקטיביים הם חלונות מרובי מפלסים ודולרים עבור ישויות שונות, אלגוריתמי אנטי-אליסינג (דלי טוקאן/דולף), מגשים חכמים ותקשורת הדוקה עם 3DS/SCA וניקוד. מעגל זה מפחית את ההונאה וההתעללות, אינו מדכא את ההמרה ועוזר לשמור על רווחיות יציבה עם תנודתיות של היוצאים מהתנועה.