UPI Үндістан: QR, VPA және лимиттер

1) UPI дегеніміз не?

Unified Payments Interface (UPI) - NPCI басқаратын Үндістанның ұлттық төлем шинасы. Ол банктік шоттар мен финтех-қосымшалар (PSP) арасында 24/7 жедел аударымдарды қамтамасыз етеді. UPI пайдаланушысы мен мерчанты үшін - бұл P2P және P2M-сценарийлер құрылатын мекенжайдың (VPA), растаудың (2FA) және клирингтің бірыңғай қабаты.

• Интероперабельділік: кез келген UPI-қосымшалар, кез келген банктер/шоттар.
• Деректемелері жоқ мекенжай: IFSC/шоттың орнына «@handle атауы» түріндегі VPA.
• Сәттілік және аяқталу: аударма бірден расталады; қайтару - жеке операциямен жүзеге асырылады.
• Мерчант үшін төмен шығындар: MDR/схемалар бойынша реттеу инкассация құнын төмендетеді.

2) Экожүйеге қатысушылар

NPCI (схема/свитч): роутинг, ережелер, сертификаттау.
PSP-банктер және non-bank PSP (Front-End Apps): клиенттік қосымшалар (PhonePe, Google Pay, Paytm және т.б.), мерчанттар үшін SDK/APIs.
Acquirer/Issuer: мерчанттың эквайер банкі және төлеушінің эмитент банкі.
Merchant PSP: бизнес үшін UPI қабылдау провайдері (SDK, QR, Intent, reconciliation).

3) Сәйкестендіргіштер: VPA және деректемелер

VPA (Virtual Payment Address) - UPI негізгі идентификаторы: 'user @psphandle' немесе 'merchantname @acquirer'.

• UPI-дегі банк шотына/кодына байланады.
• Бизнес деректемелері енгізілген дербес (P2P) немесе мерчанттық (P2M) болуы мүмкін.
• Төлем сұрауын (collect request), инвойстарды және метадеректерді (orderId, purpose, MCC) қолдайды.

4) QR-төлемдер: статикалық vs динамикалық

Статикалық QR

Құрамында VPA/handle merchant бар, кейде - тіркелген өрістер (MCC, атауы).
Соманы төлеуші қолмен енгізеді (кафе/шағын ритейл үшін жарамды).
Артықшылықтары: қарапайымдылық, бір рет басып шығару. Кемшіліктері: қате сома тәуекелі, талдаудан әлсіз.

Динамикалық QR (per-order)

Әрбір чекте жинақталады: соманы, orderId, purpose өрісін, міндетті емес жеңілдіктерді, prop-белгілерді қамтиды.
Төлеушінің сканері → қосымшасы белгіленген сомасы бар инвойсты ашады.
Артықшылықтары: қателіктер аз, салыстыру оңай, адалдық және қайтаруға қарсы дәлелдемелер.

Intent & Deep-Link Flow

Сканерлеудің орнына, мерчант бағдарламасы UPI-клиентін deeplink/Intent URI бойынша қосады, сома мен метадеректерді береді.
e-commerce/қосымшаларда ыңғайлы, камерасыз тегіс UX құруға мүмкіндік береді.

5) Үлгі төлем ағындары

P2P (pull/push): VPA/телефон/QR арқылы пайдаланушылар арасындағы аударма.
P2M (push): сатып алушы төлемді (scan/pay) бастайды.
Collect Request (merchant үшін pull): merchant сұрау салады, сатып алушы өзінің UPI-қосымшасында растайды.
AutoPay (e-mandate): лимит пен кезеңділікті алдын ала авторизациялаумен жазылу, дебет әрбір операцияны (лимитке дейін) қолмен растаусыз мандат бойынша бастама көтереді.

6) UPI лимиттері: олар қалай жұмыс істейді

Лимиттер схеманың қағидаларымен, RBI/NPCI саясатымен, эмитент банктермен және кейде - мерчант санатымен айқындалады. Олар қатысушылар, тәуекел бейіні және арна бойынша ерекшеленуі мүмкін.

1. Per-transaction cap (операцияға): көптеген retail-сценарийлер үшін «типтік» мән - бір төлемге ~ £1,00,000 (1 лакх) дейін; жекелеген санаттар үшін жоғары/төмен.

2. Per-day cap (тәулікке): төлем қосымшасы/банк бойынша операциялардың жиынтық көлеміне/санына шектеу.

3. Санаттық лимиттер: белгілі бір MCC үшін (мысалы, инвестициялар, білім/медицина, билеттер, коммуналдық) жоғарылатылған/жеке шектер әрекет етуі мүмкін.

4. Жаңа алушылар/тәуекел-таймауттар: жаңа VPA-ға бірінші ауысу кезінде төмендетілген бір реттік лимиттер мен төзімділік болуы мүмкін.

5. UPI Lite (офлайн-шағын төлемдер): шағын оффлайн-төлемдер үшін құрылғыдағы/банктегі әмиян; лимиттер кәдімгі UPI-ден төмен және жеке беріледі (per-txn және күндізгі).

6. AutoPay (e-mandate): қайталама аутентификациясыз автоматты есептен шығару лимиті - мандатта белгіленеді; әр түрлі санаттар үшін - әр түрлі табалдырықтар.

7. Сценарийлік/арналық: intents/QR жеке валидациялары (анти-абьюз, velocity) болуы мүмкін.

7) Қауіпсіздік және аутентификация

2FA: UPI-қосымшадағы растау (PIN/биометрия) + құрылғы/сим-слот/есепке алу байланысы.
Device binding: PSP бағдарламасы деңгейінде анти-фрод.
Нақты уақыттағы тәуекел саясаты: velocity-чек, санклист/алаяқтық үлгілер, алушының атын тексеру (beneficiary name display).
UPI Lite және оффлайн: микролимиттер + тәуекелдерді төмендету үшін ядроға delayed-постинг.

8) Тарифтер мен комиссиялар (MDR)

• / SDK fee UPI эквайрингі үшін,
• қосымша сервистер үшін төлемақы (динамикалық QR, reconciliation API, аннотациялар, есептер),
• қолдау, пікірталас және қайтару шығыстары.

9) Қайтарымдар, ішінара қайтарымдар және диспуттар (ODR)

Chargeback карта түрінде жоқ. Қайтару - бұл бастапқы транзакцияға сілтеме жасай отырып, төлеушіге мерчанттан жаңа кредиттік операция.
Partial refund (сомасы бойынша).
ODR (Online Dispute Resolution): онлайн шағымдарды реттеудің стандартты процесі - мәртебелері, SLA, бас тарту себебі, дәлелдемелер (төлем журналы, чек, тауар жүкқұжаты).
Мерзімі: банкке/PSP-ге байланысты; қолдау регламентіне енгізіңіз.

10) Мерчанттың интеграциясы: нұсқалар

1. Статикалық UPI QR: минималды әзірлеу; POS/SMB үшін жақсы.
2. Динамикалық UPI QR: сервер тапсырысқа QR шығарады; соманы/тапсырысты ең жақсы тексеру.
3. Intent/Deep Link: ұялы UX камерасыз; web checkout → «UPI қосымшасын ашу».
4. Collect (request-to-pay): мерчант «шотты» бастайды, клиент растайды.
5. SDK/JS/Native: Android/iOS/web үшін дайын PSP модульдері.

• төлем payload генерациясы (VPA/сомасы/белгісі),
• сәтті/сәтсіз ақы төлеуге арналған колбэк-эндпоинт,
• TID/RRN/UTR бойынша reconciliation (салыстыру),
• қолмен/автоматты refund,
• SLA PSP/банктердің мониторингі.

11) Салыстыру және есептілік (UTR, мәртебелер)

UTR (Unique Transaction Reference) - банктік рельстегі есептеудің бірегей сәйкестендіргіші; оны барлық әрекеттер үшін сақтаңыз.
PSP есептерінде: бастапқы параметрлер (VPA, сома, orderId), мәртебелер (initiated, pending, success, failure), кеш жаңартулар, қайтарулар.
Күнделікті auto-recon және мерзімді full-recon (банкпен жиынтық/PSP) міндетті.

12) Смартфонсыз оффлайн және қол жетімділік

UPI Lite (оффлайн шағын төлемдер): шағын сомалар үшін; транзакциялар желілік сұраусыз расталады, постинг - кейінірек.
UPI 123PAY/IVR/feature-phone: нөмір/IVR-мәзір бойынша төлем.
Tap-and-Pay (NFC-UPI): қолдау көрсетілген жерде байланыссыз сценарийлер.

13) Кросс-бордер (UPI Global)

UPI бірте-бірте шетелдік рельстермен/елдік әріптестіктермен интеграцияланады (мысалы, үнділік UPI-QR туристерді немесе үндістерді серіктестік желілерде шетелде сканерлеу). Қолдау және лимиттер елдердің жұбына/әріптестеріне және эмитент банкке байланысты.

14) Тәуекелдер, AML/KYC, комплаенс

PSP/банктердегі KYC деңгейлері лимиттерге әсер етеді.
AML/санкциялар: алушылардың/тағайындаулардың сүзгілері, аномалиялардың мониторингі.
Фрод-кейсинг: қаражатты қайтару мерчанттың келісімінсіз мүмкін емес → тапсырысты қатаң тексеру қажет (динамикалық QR, чек, гео/девайс).
Саланың құқықтық режимі: жекелеген сатыларға шектеулер қолданылады (MCC санаттары, лицензиялау, штаттардағы геоблок/UT). Бизнесіңіздің түрі үшін жергілікті UPI қабылдау мүмкіндігін заңгерлермен жоспарлаңыз.

15) UX және best-practices жобалау

Қате беті: таймерді, нұсқауларды және төлемді қалай қайталау керектігін анық көрсетіңіз.
Idempotency: 'orderId' + safe-қайталауыштар үшін сәйкестік кілті.
Fallback: егер Intent ашылмаса, QR және «VPA/соманы көшіру» ұсыныңыз.
Интерфейстегі шектеулер: асып кететіні туралы ескертіңіз және чектерді рұқсат етілген жерлерде бөлшектеуді ұсыныңыз.
Сенімділік: статус, webhooks + pull-API үшін экспонент ретрациясы.
Ашықтық: UTR бар чек, сомасы, күні/уақыты, VPA сауда, байланыс қолдау.

16) Интеграция чек-парағы (P2M)

1. PSP-ден Merchant VPA/handle алыңыз.
2. Арна таңдау: статикалық/динамикалық QR, Intent, Collect.
3. Payload генерациясын және қауіпсіз колбэктерді іске асыру.
4. UTR/OrderId (daily + full) бойынша reconciliation қосу.
5. Қайтарымдарды (ішінара/толық), логдарды және ODR баптау.
6. Антифрод ережелерін енгізу (velocity, жаңа алушылар, high-risk MCC жарықтандыру).
7. UI/UX: кеңестер, қателер, қайталау, лимиттерді көрсету.
8. SLA PSP/банктер мониторингін, тәуекелдер мен есептілікті жолға қою.
9. Нақты UPI-клиенттермен end-to-end тесттер жүргізу.
10. Лимиттерді/ережелерді тұрақты түрде өзектендіру (банктер/санаттар бойынша).

17) Лимиттер карточкасы (жобалауға арналған бағдарлар)

Per-txn (бөлшек сауда): бағдар ~ £1,00,000 дейін.
Per-day: банк/қосымша бойынша жиынтық күндік шегі; жергілікті орнатылады.
UPI Lite: әдеттегіден едәуір төмен UPI (шағын төлемдер).
AutoPay (e-mandate): 2FA қайталаусыз транзакцияға лимит - мандат/санат бойынша.
Жаңа бенефициарлар: төмендетілген біржолғы лимиттер және/немесе кідірістер.
Төбесі жоғары санаттар: МСС/банк ережелеріне байланысты (мысалы: білім/медицина/билеттер/инвестициялық сценарийлер - келісім бойынша).

18) Мерчант үшін QR-стратегияларды салыстыру

19) iGaming/жоғары тәуекелді сатыларға не ескеріледі

PSP/банктегі санаттың жарамдылығын және жергілікті құқыққа сәйкестігін тексеріңіз.
Тарылған лимиттерді және кеңейтілген KYC/ODR талабын күтіңіз.
Депозитке/шығаруға арналған балама рельстерді және трафиктің қатаң сегментациясын қараңыз.

20) Сәулет жазбалары

• endpoints: `createPaymentIntent`, `generateDynamicQR`, `refund`, `reconcile`, `webhook`.
• кілттер мен dedupe кестесі арқылы теңсіздік.
• оқиғалар кезегі (event bus).
• observability: метрика (табыс/істен шығу/жасырындылық), трассировка, алерта.
• секьюреттілік: HMAC-вебхуктардың қолтаңбалары, allowlist IP PSP, secret rotation.

Өндірістік түйіндеме

Динамикалық QR және/немесе Intent-ке ставка жасаңыз.
Банктер/PSP бойынша лимиттерді хардкодтауға болмайды.
UTR салыстыру, ішінара қайтару және ODR флоуды қосыңыз.
UX-ті істен шығу сценарийлерімен, қайталаулармен және мөлдір чектермен жабыңыз.
PSP-мен бірге лимиттер мен санаттар саясатын үнемі қайта қараңыз.