Architektura płatności w iGaming

Architektura płatności w iGaming

1) Rola płatności w P&L i zgodność

• Konwersja depozytów (Auth Rate, Tarcie, 3DS/SCA) i stopa wypłaty (T + 0/T + 1).
• Koszt: MDR/interchange, PSP/opłaty bankowe, FX/konwersja, przeciwdziałanie oszustwom/obciążeniom zwrotnym.
• Ryzyko i regulacje: KYC/AML, limity i Responsible Gaming (RG), PSD2/SCA/GDPR/PCI DSS.
• Niezawodność: tolerancja błędów, PSP awaryjne, różnorodność ryzyka i stabilne SLA.

2) Krajobraz docelowy

Kanały wejściowe: karty (Visa/Mastercard/MIR/اPay), APM (Apple/Google Pay), otwarte płatności bankowe/błyskawiczne (SEPA Instant, Faster Payments, Pix, UPI), e-portfele, kupony, terminale gotówkowe (lokalne).
Kanały wyjściowe: wychodzące SEPA/ACH/FPS, Pix/UPI, card-to-card (OCT/Original Credit Transfer), portfele, lokalne szyny; dla „gotówki w klatce” - płatności offline.
Warstwy pośrednie: orkiestrator PSP, zwalczanie nadużyć finansowych, brama zgodności (KYC/AML/sankcje), księga (gra/pieniądze), przechowywanie tokenów, pojednanie (pojednanie), sprawozdawczość.

3) Domeny funkcjonalne

3. 1 Nabywanie płatności

Smart routing: wybór PSP według BIN/country/bank/risk/value check; kaskada (Retry → Alt-PSP) i częściowe zatwierdzenia.
3DS/SCA: dynamiczna orkiestra (frictionless vs challenge), TRA/Whitelisting, PSD2 wyjątki (LVA, MOTO, MIT).
Tokenizacja: sejfy i żetony sieciowe (NTokens), ramki COF/CIT/MIT, sklepione karty.
UI/UX: lokalizacja waluty, auto-test APM przez GEO/UA, „1-kliknięcie” po KYC, przejrzyste opłaty/limity.

3. 2 Wypłaty

Zasady pierwszeństwa: prędkość (błyskawiczna/bliska), koszt, dostępność kanału.
Anty-arb i RG: opóźnione wnioski (cool-off), kontrole źródła funduszy, ograniczenia prędkości, odroczone kontrowersyjne wygrane (oszustwo/AML).
KYT (Know Your Transaction): monitorowanie wzorca (mulling/bounce), łącza urządzeń i kart, listy wyjątków.

3. 3 Środki zapobiegawcze i ryzyko

Sygnały: odciski palców, biometria behawioralna, kredyt BIN/debetowy, proxy/VPN, prędkość, zdarzenia runtime z rdzenia gry (nienormalnie szybkie wygrane → wycofać).
Punktacja: hybrydowe zasady ML + (funkcje ważone, kontrola SHAP), A/B dotyczące zasad progowych.
Strategia 3DS: dążymy tylko do wysokiego ryzyka/wysokiej kontroli; zoptymalizować „wskaźnik wyzwań” i „beztroski udział”.
Ładowarki: wczesny alert, Order Insight/CAA, RDR/ODR (sprzedawca), dane dowodowe (KYC, IP, login-trace, dziennik gry).

3. 4 KYC/AML/Sankcje/PEP

Poziom: L0 (e-mail/telefon) → L1 (ID/wiek) → L2 (Dowód adresu/SOW/SOF) → L3 (EDD).
Sankcje/REP: orkiestra dostawców, fuzzy-matching, automatyczna eskalacja.
Monitorowanie transakcji: zasady + ML, scenariusze SAR/STR, sprawozdania progowe, granice dla mostów gotówkowych/kryptograficznych (w stosownych przypadkach).
Częstotliwość aktualizacji KYC: podstawa ryzyka; events (device/channel/behavior change) trigger refresh.

3. 5 Księga, portfele i księgowość

Dwie rachunkowości: Księga gier (saldo, zakłady, wygrane, zobowiązania bonusowe) i Księga pieniędzy (depozyty/wnioski/prowizje/podatki).
Zobowiązania odroczone: premie/freespins/jackpoty/progresywne - jako zobowiązania.
Uzgodnienia: T + 0/T + 1 z PSP/bankami, odkrycie niespójności, automatyczne tworzenie korekt.
Wielokrotność/FX: księgowość punktowa/konwersyjna, katalog kursów (dostawca), wg FX delta.

4) Wymagania niefunkcjonalne

Dostępność i skala

Aktywny orkiestrator (multi-region), automatyczny PSP awaryjny, degradacja przy zachowaniu ścieżki jądra.
SLO/SLA: przyjęcie ≥ 99. 95%, średnie zezwolenie <3 s, sukces kaskadowy <7 s; płatności błyskawiczne ≤ 60 s (udział), bliskie błyskawiczne ≤ 15 min.

Bezpieczeństwo i prywatność

PCI DSS: segmentacja stref, skrót' Cardholder Data Environment "(CDE), tokenizacja, testy skanowania/wstrzykiwacza.
RODO/analogi lokalne: minimalizacja danych, DSR/usuwanie, kontrola dostępu.
Bezpieczeństwo łańcucha dostaw: podpisane zespoły, SBOM, SAST/DAST, klucze/sekrety (HSM/KMS), rejestry manipulacyjne.

5) Orkiestra PSP i routing

Algorytm routingu (odniesienie)

1. Punktacja wstępna: GEO, BIN/IIN, profil ryzyka, sprawdzenie.
2. Zasady kosztów/sukcesu: historyczne Auth Rate × Opłata → szybki PSP.
3. Zdrowie techniczne: opóźnienie/błędy/odbicia - grzywna w czasie rzeczywistym.
4. Polityka 3DS/SCA: TRA/Wyłączenia → Wybór przepływu.
5. Kaskada: PSP-A → PSP-B → APM → otwarta bankowość; utrzymać idempotencję.

Smart Retry

Piszemy „kody powodowe”, użyj backoff czasu, zmienić strategię 3DS, konto bramy, BIN-białe/czarne listy.
Przechowujemy „intencję płatności” i klucz idempotencji, aby uniknąć podwójnego obciążenia Ledger.

6) Archetypy regionalne (szybkie przepisy)

UE/Wielka Brytania: PSD2/SCA, SEPA Instant, Szybsze płatności, karty + otwarta bankowość; wysoka waga strategii 3DS i afillates.
USA: karty + ACH (kontrole dwuetapowe), aplikacja PayPal/Cash; zatrzymanie błyskawicznych płatności P2P, zarządzanie opłatami jest krytyczne.
LATHAM: Pix (Brazylia), SPEI (Meksyk), PSE (Kolumbia), vouchery/gotówka; ścieżka - APM-ciężkie, przeciwdziałanie oszustwom na urządzeniach i dokumentach.
Turcja/CA: lokalne mosty AWP/crypto (jeśli jest to dozwolone), przelewy bankowe; wysoki odsetek AML/sankcji.
Indie/Azja: UPI, e-portfele, lokalne sieci kart; ograniczenia, prędkość i ryzyko w czasie rzeczywistym.

7) Responsible play (RG) w pętli płatności

Ograniczenia: depozyty/straty/czas/wypłaty; cool-off i self-exclusion → blokowanie wszystkich kanałów płatniczych.
Przystępność cenowa: otwarte wskaźniki bankowe/kredytowe - miękkie wnioski.
Marketing: brak zakazu ryzyka; przejrzyste premie T&C; kontrola oddziałów/źródeł ruchu.

8) Sprawozdawczość, analityka i prognozowanie

Dzienne raporty: Autoryzacje, Wyciągi z przyczyn, Stawka obciążenia zwrotnego, Stawka zwrotu, Czas wypłaty, Marża płatności netto.
Pojednanie krzyżowe: Ledger i PSP Wypłaty triangulacja anomalii.
Prognozy: sezonowość konwersji, elastyczność na prowizję/próg nadużyć finansowych, potrzeba kapitału obrotowego na potrzeby płatności.

9) KPI/mierniki (wartości odniesienia)

Auth Rate (karty): EU 85-92%, US 80-88%, LATAM 70-85% (przed orkiestrą).
Udział natychmiastowych wypłat: ≥ 70% przy odprawie pasażerów.
Stawka obciążenia zwrotnego: <0. 5% według liczby, 0. 9% objętości (zależy od produktu/regionu).
3DS Challenge Rate: <10-20% (segmentowy), Frictionless ≥ 70%.
Stężenie PSP: wskaźnik Herfindahla <0. 35 (dywersyfikacja).
OPEX dla płatności (jako% depozytu): korytarz docelowy 1. 2–2. 0% w dojrzałej orkiestrze.

10) Incydenty i odporność

Playbooks: Massive Declines (emitent/PSP przerwa), degradacja ACS 3DS, opóźnienia Pix/UPI, wakacje bankowe, wzrost obciążeń zwrotnych.
Cechy stabilności: termin „saldo karencji” na krótki okres (tylko dla bezpiecznych profili), automatyczne przełączanie APM, „wypłaty w kolejce” w przypadku awarii banku, „wyłącznik” dla anomalii.
Komunikaty: strona stanu, szablony powiadomień, rekompensaty/kupony.

11) Listy kontrolne zgodności

PWZ DSS

• Segmentacja CDE, tokenizacja, PAN poza aplikacjami.
• Certyfikacja roczna, skany, testy pióra, rejestry dostępu.

RODO/Prywatność

• Minimalizacja danych, DSR/usunięcie, DPIA dla zwalczania nadużyć finansowych, szyfrowanie w miejscu odpoczynku/tranzytu.
• DPA z PSP/dostawcami, przepływy transgraniczne.

KYC/AML

• Polityka CDD/EDD, sankcje/PEP, KYT, STR/SAR scenariusze.
• Limity progowe i korekty; dziennik decyzji.

RG/Marketing

• Ograniczenia/samodzielne wykluczenie, widoczne zastrzeżenia.
• Audyt oddziałów, zakaz ukierunkowywania młodzieży.

12) Standard architektoniczny (warstwy)

1. Warstwa realizacji transakcji (interfejs użytkownika/lokalizacja/odkrycie APM).
2. Orkiestrator płatności (routing, ponowne próby, zasady, A/B).
3. Silnik ryzyka (urządzenie, zachowanie, polityka ML, 3DS).
4. Centrum zgodności (KYC, sankcje, KYT, RG).
5. Portfel i księgi (gra/gotówka, zobowiązania bonusowe).
6. Pojednanie i sprawozdawczość (PSP/bank/GL, podatki).
7. Obserwowalność i bezpieczeństwo (mierniki/dzienniki/ślady, PCI/RODO).
8. Dane/ML (modele oszustw, punktacja LTV, personalizacja limitu).

13) Plan działania w zakresie wdrażania

Etap 0 (2-4 tygodnie): audyt bieżących PSP/mierników, GAP przez PCI/KYC/RG, ustawienie KPI, wybór orkiestratora.
Etap 1 (6-8 tygodni): wieloosobowe przyjmowanie PSP + otwarta bankowość/APM, podstawowe zwalczanie nadużyć finansowych, polityka 3DS, tokenizacja.
Etap 2 (8-12 tygodni): natychmiastowe wypłaty, KYT, T + 0/T + 1 pełne uzgodnienia, sprawozdawczość CFO.
Faza 3 (12 + tygodnie): oszustwo ML, dynamiczne trasowanie kosztów/sukcesów, przystępność cenowa, „wyłącznik” w czasie rzeczywistym.

14) Co jest ważne do zapamiętania

Architektura płatności to orkiestra: odpowiednia kombinacja kanałów, PSP i przeciwdziałanie oszustwom zwiększa konwersję i zmniejsza koszty.
Bezpieczeństwo/zgodność (PCI, RODO, KYC/AML, RG) - fundament; bez nich skalowanie jest niebezpieczne.
Uzgodnienia i rachunkowość - wsparcie dla CFO/audytu: T + 0/T + 1, pełna identyfikowalność, oddzielne księgi.
Rozwiązania regionalne: otwarte szyny lokalne (Pix/UPI/SEPA Instant/FPS) i dostosować strategię UX i 3DS dla emitującego banku/regionu.