Velocity-чеги жана анти-кыянаттык

1) Velocity деген эмне жана эмне үчүн керек

• азыктанууну жана бонустарды/промо эксплуатациялоону азайтуу,
• төлөм инфраструктурасын "бороон-чапкындардан" коргоо,
• мүмкүн болгон жерде "катуу баш тартуунун" ордуна шектүү аракеттерди чакырыкка (3DS/SCA) которуу менен дени сак конверсияны кармап туруу.

Velocity-Controls эсепти, AVS/CVV, 3DS2/SCA жана smart-routing толуктайт.

2) Кандай жактарын чектөө (scopes)

• Төлөм жактары: 'card _ token' (vault/network), 'bin', 'issuer', 'psp _ route'.
• Колдонуучулар: 'account _ id', 'kyc _ level', 'email/phone'.
• Техникалык: 'device _ id' (fingerprint/SDK), 'ip', 'asn', 'session _ id'.
• Бизнес-контекст: 'bonus _ id', 'campaign _ id', 'country', 'mcc 7995' түр (депозит/чыгарылыш).
• Каржылык: 'amount _ bucket' (микро/орто/ири), 'currency', 'payment _ method'.

3) Терезелер жана эсептегичтер

Fixed window (T = 15m/1h/24h) - жөнөкөй, бирок чек сезимтал.
Sliding window - тагыраак айтканда, "жылма" аралык боюнча эсептейт.
Leaky bucket/Token bucket - жарылууларды тегиздөө, туруктуу өткөрүү жөндөмдүүлүгүн берүү.
Айкалыштырылган: burst (кыска жарылуу) + sustained (узак агым).

• 'device _ id': 15 мүнөттө 3 авторизациялоо аракетин ≤; 24 саатта 10 ≤.
• 'card _ token': 3DS жок катары менен 2 decline ≤; үчүнчүсү - милдеттүү 3DS.
• 'ip': ≤ 5 уникалдуу 'card _ token' менен 1 саат (башка - Captcha/блок).
• 'account _ id': ≤ катары менен жокко чыгарылган 2 депозит; андан ары - кулдаун 1 саат.

4) Чектөө алгоритмдери (кыскача)

• баштоо 'capacity' жана 'refill _ rate'.
• Ар бир аракет алдында "алып" 1 токен; эгерде токендер жок болсо - challenge/decline.

• кезек туруктуу ылдамдык менен агып; келе жаткан окуялар толуп жатат - throttle.

• 1-кайталоо: 2-5 мүнөт → 2-чи: 10-20 мүнөт → 3-чи: 1-2 саат → stop, же башка ыкмага которуу.

5) Чечим саясаты (decisioning)

• Allow: төмөн тобокелдик, босого чегинде.
• Challenge: ашып "жумшак" босогосу → 3DS/SCA/капча/KBA (суроолор).
• Throttle: убактылуу чектөө (Кулдаун) ачык UX менен.
• Decline: одоно бузуулар (массалык түрдө карталарды, бот-пулдарды, бонус-кыянаттык).
• Reroute: PSP/ыкмасын өзгөртүү (мисалы, A2A) '91/96' эмитенти жарк эткенде.

Мини-матрица мисалдар

'device _ id' аракет ≥ 3 15 мүнөт жана 'cvv = N' ≥ 2 → Decline + капча.
'card _ token' 2 soft-decline → 3DS-challenge (милдеттүү).
'ip' ≥ 5 уникалдуу 'account _ id' 30 мин → Throttle 30 мин + KYC-текшерүү.
'account _ id' депозиттик-чегерүү-депозиттик 10 мин (карусель) → Challenge же сумма боюнча лимит.

6) депозиттер үчүн Velocity, retrains жана корутундулар

• "Микро-бүтүм" коргоп (майда бүтүмдөр көп): саны жана жалпы жүгүртүү үчүн чек T.
• '05 '/' 14 '/' 54' катар - 3DS которуп, "ашыкча" маалымат токтотуу.

• CIT жана MIT кезек. MIT үчүн жумшак T + 1/T + 24h терезелерди колдонуңуз.
• Soft-decline 'SCA required' → дароо 3DS, аракет өрттөп жок.

• Суммага/жыштыкка өзүнчө лимиттер: мисалы, 2 ≤/24h жана сумма/жума боюнча ≤ N.
• "Тепкич" KYC: жогорку текшерүү, жогорку чектер.
• Detect "circling": тез депозиттик жана тез чыгаруу - manual review/hold.

7) Анти-алдоо промо жана бонустар

Per-campaign caps: 'bonus _ id' ≤ X 'device _ id '/' ip '/' payment _ fingerprint' боюнча активдештирүү.
"Вилки" (эсептердин ортосунда акча которуу): жалпы карталарды/IP/түзмөктөрдү талдоо.
Cool-off Windows: бонус-депозиттик кийин - токтоосуз чыгаруу тыюу, ToS ачык-айкын эрежелер.
Деңгээлдер боюнча санкциялар: убактылуу бөгөт коюудан баштап "түбөлүккө" чейин, себептер журналы менен.

8) Архитектура: velocity эрежелери менен жашоого кайда

Реалдуу убакыт шлюзы (оркестрде): чечим ≤ 50-100 ms.
Эсептегичтерди сактоо: in-memory (Redis/KeyDB) + узак мөөнөттүү "отчеттор" (DWH).
Fichestor: бирдиктүү терезелер/агрегаттар (15m/1h/24h/7d).
Руль engine + ML эсеби: "safety-net" моделдин үстүнөн эрежелер.
-желектери: "3DS кирет", "X аймакта катуураак", "PSP-A тыныгуу".
Идемпотенттүүлүк: кайталоо/тайм учурунда дубликаттардан коргоо.

9) Psevdocode эрежелери (эскиз)

pseudo on payment_attempt(ctx):
s = features(ctx) // device/ip/account/bin/score/avs/cvv/history if counter(device, 15m) >= 3 and cvv_fail(device, 15m) >= 2:
return DECLINE(reason="velocity_device_cvv")
if soft_declines(card_token, 1h) >= 2:
return CHALLENGE_3DS()
if uniq_accounts(ip, 30m) >= 5:
return THROTTLE(ttl=30m)
if score > T2 and velocity(account, 1h) > Vmax:
return DECLINE(reason="high_risk_burst")
return ALLOW

10) UX үлгүлөрү (конверсияны бузбастан)

Так билдирүүлөр: "Кыска убакыттын ичинде өтө көп аракеттер. 15 мүнөттөн кийин аракет кылыңыз же банктан тастыктаңыз".
Таймер менен "Кийинчерээк кайталоо" баскычы.
Сунуш альтернатива: A2A/жергиликтүү капчыктар Trottling менен.
Авто-3DS SCA-soft менен реквизиттерди кайра киргизбестен.
Capcha гана чекит (IP/ASN/бот-сигналдар боюнча), бардык эмес.

11) Комплаенс жана купуялык

GDPR/PII: минималдуу идентификаторлорду (түзмөк хэштери, карта токендери, last4), ачык-айкын саясаттарды сактоо.
PCI DSS: логтордо эч кандай PAN/CVV; сезимтал маалыматтар жок velocity-окуялар.
PSD2/SCA: жалпы баш тартуу ордуна, туура жерде challenge ашыкча которуу.

12) Metrics, Алерт, SLO

• Approval Rate (жалпы жана эрежелер иштегенде).
• False Positive Rate velocity эрежелери (чынчыл блоктордун үлүшү → кийинки мыйзамдуулук боюнча).
• "Бороондордун" саны жана орточо калыбына келтирүү убактысы.
• ийгиликтүү жыйынтыгы менен decline → challenge которуулардын үлүшү.
• лимиттер иштеген сегменттеринде Chargeback rate (күтөбүз ↓).

• Спайк '05/14/54' + аракет өсүшү> X 15 мин BIN/ASN кластерде.
• Splash '91/96' → auto-жогорулатуу босогосу T1 + PSP-B багыттоо
• FP-rate эрежелери> максаттуу (мисалы, 1. 5 × жумалык медиалар).

• velocity чечим ≤ 100 ms p95.
• 3DS ордуна максаттуу ≥ баш тарткан ийгиликтүү төлөмдөрдүн үлүшү.

13) Анти-үлгүлөрү

Бардык рыноктор жана кардарлардын түрлөрү үчүн универсалдуу "жалпы" чек.
Бөгөт 'AVS = U/S/G' AVS үзгүлтүксүз иштеген өлкөлөрдө.
CIT/MIT бөлүп жок - жазылуу/кайталап бузат.
Jitter жана боштондук жок retrait - дубль жана бороон.
Баш тартуунун себептерин жашыруу - саппорт жана уулуулук күчөйт.

14) Киргизүү чек-тизмеси

• Жандыктардын картасы (scopes) жана терезелер (15m/1h/24h/7d).
• Алгоритмдерди тандоо: бурстс үчүн sliding + token bucket.
• Retrains нормалдаштыруу: backoff + jitter, CIT/MIT үчүн өзүнчө.
• 3DS/SCA менен бириктирүү: auto-challenge жумшак ашыкча.
• Корутундулар жана бонустар үчүн өзүнчө лимиттер; байланыштарды текшерүү.
• байкоо: дашборддор KPI/алерт/аудит эрежелери.
• UX билдирүүлөр үлгүлөрү жана башка ыкмалар.
• PCI/GDPR саясаты: Токендер, жашыруу, PII азайтуу.
• Рыноктор/BIN/ASN жана кардарлардын профилдери боюнча A/B босого тесттери.
• Playbook окуялар: эмитент/PSP деградациясы, боттордун өсүшү.

15) Резюме

Эффективдүү велосити-лимиттер - бул көп баскычтуу терезелер жана ар кандай жактар ​ ​ боюнча эсептегичтер, тегиздөө алгоритмдери (token/leaky bucket), акылдуу ретраиялар жана 3DS/SCA жана скоринг менен тыгыз байланыш. Бул контур азаят жана каргашалуу, муунтуп эмес, жана эмитенттердин туруксуздугу жана жол менен туруктуу акча сактоого жардам берет.