Limite de viteză și anti-abuz

1) Ce este viteza și de ce este necesar

• reduce frauda și exploatarea bonusurilor/promoțiilor,
• protejează infrastructura de plăți de „furtunile” retroavelor
• păstrați o conversie sănătoasă prin convertirea încercărilor dubioase de a provoca (3DS/SCA) în loc de „eșec greu”, acolo unde este posibil.

Comenzile de viteză completează scorurile, AVS/CVV, 3DS2/SCA și rutarea inteligentă.

2) Ce entități să limiteze (scopuri)

• Entități de plată: 'card _ token' (seif/rețea), 'bin', 'emitent', 'psp _ route'.
• Personalizat: 'account _ id',' kyc _ level ',' email/phone '.
• Tehnic: 'device _ id' (amprentă digitală/SDK),' ip ',' asn', 'session _ id'.
• Context de afaceri: 'bonus _ id',' campaign _ id', 'country', 'mcc 7995' subtip (depozit/ieșire).
• Financiar: 'cuantum _ bucket' (micro/mediu/mare), 'valută', 'payment _ method'.

3) Ferestre și contoare

Fereastră fixă (T = 15m/1h/24h) - simplă, dar sensibilă la limite.
Fereastră glisantă - mai precis, contează la un interval „glisant”.
Găleată cu scurgeri/găleată Token - explozii netede, setați lățimea de bandă stabilă.
Combinat: spargere (spargere scurtă) + susținută (flux lung).

• 'device _ id': ≤ 3 încercări de autorizare în 15 minute, ≤ 10 în 24 de ore.
• 'card _ token': ≤ 2 declin consecutiv fără 3DS; al treilea este obligatoriu 3DS.
• 'ip': ≤ 5 unique 'card _ token' pe oră (aka captcha/block).
• "account _ id': ≤ 2 depozite anulate la rând; mai departe - kuldown 1 oră.

4) Algoritmi de constrângere (scurt)

• Inițializați „capacitate” și „realimentare _ rate”.
• Înainte de fiecare încercare, „scoate” 1 jeton; dacă nu există jetoane - provocare/declin.

• Scurgerile de coadă într-un ritm constant; evenimentele de intrare se revarsă - accelerație.

• 1 repetare: 2-5 min → 2: 10-20 min → 3: 1-2 h → oprire, sau transfer la o metodă alternativă.

5) Politici decizionale

• Permiteți: risc scăzut, în limite.
• Provocare: a depășit pragul „moale” → 3DS/SCA/captcha/KBA (întrebări).
• Accelerație: Restricționați temporar (cooldown) cu UX transparent.
• Declin: încălcări grave (căutare în masă de cărți, bazine de bot, abuz de bonus).
• Redirecţionare: modificare PSP/metodă (ex. A2A) cu „91/96” spike la emitent.

Mini-matrice de exemple

'device _ id' attempts to ≥ 3 in 15 minute and' cvv = N '≥2 → Declin + captcha.
'card _ token' 2 soft-declin → 3DS-challenge (necesar).
„ip” ≥ 5 unic 'account _ id' în 30 minute → Accelerație 30 minute + verificare KYC.
'account _ id' deposit-retragere-depozit în 10 minute (carusel) → Challenge sau limita sumei.

6) Viteza pentru depozite, retrageri și retrageri

• Protejarea „micro-umpluturii” (multe tranzacții mici): limitarea cantității și a cifrei de afaceri totale per T.
• Cu secvența „05 ”/„ 14 ”/„ 54” - opriți „căutarea” detaliilor, traduceți la 3DS.

• Postați cozile CIT și MIT. Pentru MIT, utilizați ferestre moale T + 1/T + 24h.
• Soft-declin „SCA necesar” → imediat 3DS, nu arde încercări.

• Limite individuale pentru cantitate/frecvență: de exemplu ≤ 2 ieșiri/24h și ≤ N pe cantitate/săptămână.
• KYC „scară”: cu cât este mai mare verificarea, cu atât sunt mai mari limitele.
• Detectarea „circling”: depunere rapidă și retragere instantanee - revizuire manuală/așteptare.

7) Promo anti-abuz și bonusuri

Per-campaign caps: 'bonus _ id' ≤ X activations on' device _ id'/' ip '/' payment _ amprent'.
„Prize” (transfer de bani între conturi): analiza grafică a cardurilor comune/IP/dispozitive.
Ferestre cool-off: după un depozit bonus - interzicerea ieșirii instantanee, reguli transparente în ToS.
Sancțiuni după nivel: de la încuietori temporare la „pentru totdeauna”, cu un jurnal de motive.

8) Arhitectura: unde să trăiască regulile de viteză

Gateway în timp real (în orchestrator): soluție ≤ 50-100 ms.
Counter storage: în memorie (Redis/KeyDB) + pe termen lung „rezumate” (DWH).
Fichestor: ferestre/agregate unice (15m/1h/24h/7d).
Regula motor + ML de notare: „safety-net” reguli pe partea de sus a modelului.
Steaguri de configurare: "activați" 3DS, "mai stricte în regiunea X", "pauză PSP-A.
Idempotence: protecție împotriva duplicatelor la repetări/întreruperi de timp.

9) Pseudo cod de reguli (schiță)

pseudo on payment_attempt(ctx):
s = features(ctx) // device/ip/account/bin/score/avs/cvv/history if counter(device, 15m) >= 3 and cvv_fail(device, 15m) >= 2:
return DECLINE(reason="velocity_device_cvv")
if soft_declines(card_token, 1h) >= 2:
return CHALLENGE_3DS()
if uniq_accounts(ip, 30m) >= 5:
return THROTTLE(ttl=30m)
if score > T2 and velocity(account, 1h) > Vmax:
return DECLINE(reason="high_risk_burst")
return ALLOW

10) Modele UX (nu de rupere de conversie)

Mesaje clare: "Prea multe încercări într-un timp scurt. Încercați în 15 minute sau confirmați cu banca.
Repetați butonul Mai târziu cu cronometrul.
Oferirea de alternative: portofele A2A/local atunci când throttling.
Auto-3DS fără a reintra detalii cu SCA-soft.
Captcha numai pointwise (prin semnale IP/ASN/bot), nu tuturor.

11) Respectarea și confidențialitatea

GDPR/PII: stocați identificatori minimi (dispozitive hash, jetoane pentru carduri, last4), politici transparente.
PCI DSS: nu există PAN/CVV în jurnalele; evenimente de viteză fără date sensibile.
PSD2/SCA: transformarea exceselor în provocări, dacă este cazul, în loc de eșecuri totale.

12) Măsurători, alerte, SLO

• Rata de aprobare (generală și atunci când regulile sunt declanșate).
• Rata fals pozitivă a regulilor de viteză (ponderea blocurilor oneste de → prin legitimitate ulterioară).
• Numărul de „furtuni” de retrageri și timpul mediu de recuperare.
• Procentul de declin → provocarea transferurilor cu succes.
• Rata de încărcare în segmentele în care limitele au funcționat (ne așteptăm la ↓).

• Spike '05/14/54' + creștere a încercărilor> X în 15 min în cluster BIN/ASN.
• Izbucni '91/96' → auto-ridicare T1 prag + rutare în PSP-B.
• Regulile ratei FP> țintă (de exemplu, 1. 5 × mediana săptămânală).

• Soluție de viteză ≤ 100ms p95.
• Procentul plăților de succes transferate către 3DS în loc să nu ≥ țintă.

13) Anti-modele

Limita universală „totală” pentru toate piețele și tipurile de clienți.
Block by 'AVS = U/S/G' în țările în care AVS nu funcționează normal.
Nu separați CIT/MIT - întrerupe abonamentele/repetările.
Recalificați fără jitter și idempotență - ia și furtuni.
Ascundeți motivele refuzului - sprijinul și toxicitatea sunt în creștere.

14) Lista de verificare a implementării

• Harta entității (scopuri) și ferestre (15m/1h/24h/7d).
• Selecție algoritm: alunecare + găleată token pentru explozii.
• Normalizarea returnării: backoff + jitter, separat pentru CIT/MIT.
• Integrarea cu 3DS/SCA: auto-provocare pentru overclocks moale.
• Limite separate pentru concluzii și bonusuri; verificarea grafic-verificarea relațiilor.
• Observabilitate: tablouri de bord KPI/alert/rule.
• Șabloane de mesaje UX și metode alternative.
• Politici PCI/GDPR: jetoane, mascare, minimizare PII.
• A/B teste praguri de piață/BIN/ASN și profiluri de client.
• Playbook-uri incidente: degradare emitent/PSP, bot spike.

15) Rezumat

Limitele de viteză eficiente sunt ferestre și contoare pe mai multe niveluri pentru diverse entități, algoritmi anti-aliasing (token/leaky bucket), retray-uri inteligente și comunicare strânsă cu 3DS/SCA și scoring. Un astfel de circuit reduce frauda și abuzul, nu înăbușă conversia și ajută la menținerea unei monetizări stabile cu volatilitatea emitenților și a traficului.