Rede afiliada e tráfego

1) Papéis e modelos de cooperação

Afiliados: webmaster, mídia, sites de conteúdo, influentes, aplicativos, agregadores.
Gerente de rede (sua plataforma): regras, criatividade, rastreamento, PRM, pagamentos.

• CPA - taxa de validade (registro/depósito/compra).
• CPL - taxa de pagamento (formulário/pedido) com qualificação.
• RevShare -% da margem/receita (muitas vezes uma longa cauda).
• Hybrid — CPA + RevShare; às vezes com o mínimo de garantias.
• Finparametros: hold/janela de validação, clawback (restituição para foda/refanda), caps (limites diurnos/semanais), tiragens de pagamento.

2) Arquitetura de tracking e atribuições

2. 1 Modelo de evento

Os passos-chave são 'click → visit → signup → qualify → target _ action (e. g., FT, purchase) → retention events`.

json
{
"event_id": "uuid",
"occurred_at_utc": "2025-10-31T12:45:10Z",
"type": "affiliate.target_action.v1",
"affiliate_id": "aff_001",
"campaign_id": "cmp_42",
"click_id": "c_abc123",
"user_pseudo_id": "u_... (hashed)",
"amount": 49.90,
"currency": "EUR",
"status": "qualified",
"signature": "base64/Ed25519",
"version": 1
}

2. 2 Atribuição

Janela: 7-30 dias por clique (ou 24-72 horas por view-through, se permitido).
Modelo: last-click mais comum; é permitido data-driven para grandes redes.
A prioridade dos canais é pagar/marca/orgânico - fixar a matriz de prioridade.
Deduplicação por 'event _ id '/' click _ id' + impressão digital da sessão, S2S.

2. 3 eventos S2S pós e c2s

S2S pós-back: servidor-k para fixação de destino (confiabilidade, privacidade).
fluxo C2s: eventos do cliente → seu backand → normalização → um parceiro pós-back (assinado).
Idempotidade: chave de idempotação = 'affiliate _ id + click _ id + action _ tipo'.

POST https://aff.example/postback
Headers:
X-Signature: ed25519:...
X-Timestamp: 1730388405
Body:
click_id=c_abc123&status=qualified&amount=49.90&currency=EUR&event_id=uuid

3) Antifrode e controle de qualidade

Vetores: bots, inativized/tráfego de má qualidade, cookies stuffing, troca de refer, proxy/emuladores, «quintas» de registro.

• Assinaturas e reputação: device signals, ASN/proxy, vocity-cheque, métricas comportamentais (dwell time, scroll, focus).
• Quality score (q-score): композит `q = w1cohort_retention + w2FT_rate + w3refund_rate^-1 + w4fraud_signals^-1`.
• Limites e capas: «aceleração» à medida que a verificação é realizada; O endurecimento automático dos destaques.
• Qualificação adiada (cool-off): confirmação CPA após N dias de atividade/sem marceback.
• Honey-tocens: «armadilhas» em lendings/SDK para detecção de parsers e bots de clique.
• Consentimento e privacidade: cookies-banners/CMPl, modo sem 3rd-party cookies → foco em S2S.

4) Criativos, lendagens e UX

Catálogo de criatividade: versões/localização, regras da marca, configurações UTM, modelos deplink.
Lendings: fast TTV (forma simples, login social), testes A/B, conteúdo por geo/dispositivo.
Políticos: verticais/palavras proibidas, reservas sobre limites de idade, responsabilidade sobre criações enganosas.
Velocidade: LCP <2. 5s; p95 times de lending são parte do SLO para afiliados.

5) Processos PRM (Parceiro Relationship Management)

5. 1 Onboarding

Questionário, CUS/sanções, confirmação de fontes de tráfego, domínios/aplicativos.
Acordos: MSA/IO, política de conteúdo, DPA (se houver PD), regras de atribuição.
Chaves API, caixa de areia, malas de teste pós-back.

5. 2 Operações

QBR/MBR (review), alvos e capas, biblioteca criativo, tíquetes de saforta.
Mudanças de campanhas: versões, lançamentos canários, períodos freeze em grandes lançamentos.
Sanções/bloqueios: limiar de frod → auto-pause, investigação, relatórios.

5. 3 Saída/alteração

Rotação de chaves/revisão de tokens, encerramento de campanhas, carregamento de relatórios, cálculos finais.

6) Métricas e analista

• CR (visit→signup, signup→action)
• ARPU/LTV conectividade afiliada/campanha/geo eCPA/ eCPL/ eROAS
• FT rate / Repeat rate / Retention w4/w8
• Refund/Chargeback rate, Clawback%
• q-score por fonte, «cartões térmicos» qualidade

utm_source=aff_network&utm_medium=cpa&utm_campaign=cmp_42&utm_content=ban_01&utm_term=kw aff_id=aff_001&click_id=c_abc123&geo=TR&lang=tr

sql
SELECT cohort_week,
aff_id,
COUNT(DISTINCT user_id) AS users,
SUM(first_deposit_amount) AS gmv,
SUM(margin) AS net_rev,
SUM(payout) AS payout,
SUM(margin) - SUM(payout) AS contrib
FROM fact_users
GROUP BY 1,2;

7) Cálculos, reconciação e pagamentos

7. 1 Regras de cálculo

Base de pagamento: net-basis (após comissões/impostos/bônus) ou gross - especifique claramente.
Janelas: T + N (dias/semanas), moedas, taxa de conversão, invoice/credit note.
Clawback: Desfazer para frade/charjbacks dentro da janela.

7. 2 Reconciliation

Relatórios bilaterais (o seu relatório vs da afiliada), permissões, dedução por 'event _ id'.
SLA encerramento de divergências (por exemplo, ≤ 5 dias úteis), registro de comentários.

sql
SELECT a.event_id
FROM partner_report a
LEFT JOIN internal_events b ON a.event_id = b.event_id
WHERE a.date BETWEEN:from AND:to
AND b.event_id IS NULL;

8) Políticas como código (gate's)

rego package affiliate.policies

deny["Weak signature"] {
input.webhook.signature.alg not in {"HMAC-SHA256","Ed25519"}
}

deny["No attribution window"] {
not input.campaign.attribution.window_days
}

deny["Fraud spike"] {
input.metrics.fraud_rate > 0.7 input.metrics.signup_to_action_cr < 0.05
}

deny["PII in logs"] {
some f f:= input.logs[_]
contains(f, "ssn") # пример
}

9) Complaens e privacidade

Transparência: disclosure para publicidade, restrições de idade, normas locais de publicidade.
Privacidade: Minimizar os dados dos associados (pseudônimos, agregados), direito de remoção, TTL.
Áreas legais: geo-targeting, proibição de tráfego de regiões restritas, armazenamento em locais permitidos.
Anti-coerção: proibição de incentivos «tóxicos» (enganosos).
Registros de acesso: quem viu quais dados, relatórios de auditoria.

10) Modelos e exemplos

10. 1 Passaporte da afiliada (YAML)

yaml affiliate_id: "aff_001"
name: "Acme Media"
regions: ["EU","TR","LATAM"]
traffic_sources: ["SEO","Content","Push"]
contracts:
model: "Hybrid"
cpa: 60 revshare: "20% of net"
hold_days: 14 attribution:
window_days: 30 priority_matrix: ["affiliate>paid>brand>organic"]
tech:
postback_url: "https://acme.example/postback"
signature: "Ed25519"
test_click_id: "TEST123"
policies:
caps: { daily: 200, weekly: 1000 }
banned_keywords: ["free money", "no risk"]
quality:
min_q_score: 0.6 cool_off_days: 7 status: "active"
owner: "aff-team-emea"

10. 2 Validador pós-back (pseudocode)

python def verify_postback(req, key):
ts = int(req.h["X-Timestamp"])
if abs(now()-ts) > 300: return 401 if not ed25519_ok(req.body, req.h["X-Signature"], key): return 401 if seen(req.form["event_id"]): return 200 save_event(req.form); mark_seen(req.form["event_id"]); return 200

10. 3 Fórmula q-score (exemplo)

python q = 0.35retention_w4 + 0.25ft_rate + 0.2(1-refund_rate) + 0.2(1-fraud_score)

10. 4 Regras de Deduplicação

dedupe_key = SHA256(affiliate_id    click_id    action_type    user_pseudo_id    date)

11) Anti-pattern

Apenas cookie-tracking sem S2S → perda de atribuição.
CPA cego sem controle de qualidade/retenção → queima de orçamento.
Falta de hold/cool-off → pagamentos exagerados e disputas.
A mistura de gross/net no cálculo → variações eternas.
A única afiliada superconectada → o risco de concentração.
Não há limites automáticos quando o frod sobe → cancelamentos em massa.
PII em logs/webhooks → riscos de privacidade e multas.

12) Folha de cheque do arquiteto

1. O modelo de pagamento, a base de cálculo e a janela (hold, clawback) foram registrados?
2. O rastreador S2S foi implementado com assinatura e idumpotência?
3. As janelas de atribuição e a prioridade dos canais foram definidas, e o Dedup está funcionando?
4. Sinais antifrod incorporados e q-score, caps e auto-pause?
5. Processos PRM: processamento/CUS, criatividade, caixa de areia, malas de teste pós-back?
6. Dashboards: CR, eCPA, LTV, retenção, refund/clawback, q-score?
7. Reconciação: relatórios bilaterais, permissões, SLA encerramento de litígios?
8. Políticas como código de CI/CD/PRM (assinaturas, janelas, bang lists)?
9. Privacidade: mínimo de PD, pseudônimos, TTL, direito de remoção?
10. Plano para os incidentes, frod-spike, folga pós-back, secção de relatórios?

Conclusão

Uma forte rede de afiliações é um sistema de engenharia, não apenas marketing. Quando a atribuição é de servidores e transparente, a qualidade do tráfego é medida e gerenciada, os processos PRM são normalizados e os cálculos são confirmados pela base de provas e «policy as code», o canal é escalado previsivelmente: o eCPA é estável, a LTV cresce, as disputas são raras e os parceiros investem com vontade no seu tráfego.