Платежная архитектура в iGaming

Платежная архитектура в iGaming

1) Роль платежей в P&L и комплаенсе

• Конверсия депозита (Auth Rate, Friction, 3DS/SCA) и скорость вывода (T+0/T+1).
• Стоимость: MDR/интерчейндж, сборы PSP/банков, FX/конверсия, антифрод/чарджбеки.
• Риск и регуляторика: KYC/AML, лимиты и Responsible Gaming (RG), PSD2/SCA/GDPR/PCI DSS.
• Надежность: отказоустойчивость, failover PSP, разнесение рисков и стабильные SLA.

2) Целевой ландшафт

Каналы ввода: карты (Visa/Mastercard/MIR/UnionPay), APM (Apple/Google Pay), open banking/instant payments (SEPA Instant, Faster Payments, Pix, UPI), e-кошельки, ваучеры, терминалы наличных (локальные).
Каналы вывода: исходящие SEPA/ACH/FPS, Pix/UPI, card-to-card (OCT/Original Credit Transfer), кошельки, локальные рельсы; для «cash at cage» — офлайн-выплаты.
Промежуточные слои: PSP-оркестратор, антифрод, комплаенс-шлюз (KYC/AML/санкции), Ledger (игровой/денежный), хранилище токенов, сверки (Reconciliation), отчетность.

3) Функциональные домены

3.1 Прием платежей (Acquiring)

Смарт-маршрутизация: выбор PSP по BIN/стране/банку/чеке риска/стоимости; каскад (Retry → Alt-PSP) и partial approvals.
3DS/SCA: динамическая оркестрация (frictionless vs challenge), TRA/Whitelisting, PSD2-исключения (LVA, MOTO, MIT).
Токенизация: сейфкарды и сетевые токены (NTokens), COF/CIT/MIT фрейминг, vaulted cards.
UI/UX: локализация валют, автодетект APM по GEO/UA, «1-клик» после KYC, прозрачные сборы/лимиты.

3.2 Выплаты (Payouts)

Правила приоритета: скорость (instant/near-instant), стоимость, доступность канала.
Анти-арб и RG: отложенные выводы (cool-off), проверки источника средств, velocity-лимиты, отложение спорных выигрышей (fraud/AML).
KYT (Know Your Transaction): мониторинг паттернов (муллинг/обнал), связи устройств и карт, списки исключений.

3.3 Антифрод и риск

Сигналы: девайс-фингерпринт, поведенческая биометрия, BIN/дебит-кредит, прокси/VPN, velocity, рантайм-эвенты из игрового ядра (аномально быстрый win→withdraw).
Скоринг: гибрид ML + правила (weighted features, SHAP-контроль), A/B на политике порогов.
3DS стратегия: таргетируем только высокориск/высокий чек; оптимизируем «challenge rate» и «frictionless share».
Чарджбеки: ранний алерт, Order Insight/CAA, RDR/ODR (вендорные), данные доказательств (KYC, IP, логин-трейс, игровой лог).

3.4 KYC/AML/Санкции/PEP

Tiering: L0 (email/телефон) → L1 (ID/возраст) → L2 (Proof of Address/SOW/SOF) → L3 (EDD).
Санкции/PEP: оркестрация провайдеров, fuzzy-матчинг, авто-эскалации.
Транзакционный мониторинг: правила + ML, сценарии SAR/STR, пороговые отчеты, рубежи для наличных/крипто-мостов (если применимо).
Периодичность обновления KYC: риск-базовая; эвенты (смена устройства/канала/поведения) триггерят refresh.

3.5 Ledger, кошельки и учет

Двуучет: Игровой Ledger (баланс, ставки, выигрыши, бонусные обязательства) и Денежный Ledger (депозиты/выводы/комиссии/налоги).
Отложенные обязательства: бонусы/фриспины/джекпоты/прогрессивы — как пассивы.
Сверки: T+0/T+1 с PSP/банками, discovery несостыковок, автосоздание корректировок.
Мультивалюта/FX: спотовый/конверсионный учет, справочник курсов (провайдер), PnL по FX-дельте.

4) Нефункциональные требования

Наличие и масштаб

Active-active оркестратор (multi-region), автоматический failover PSP, деградация с сохранением ядрового пути.
SLO/SLA: прием ≥ 99.95%, средняя авторизация < 3 с, успешность каскада < 7 с; выплаты instant ≤ 60 с (доля), near-instant ≤ 15 мин.

Безопасность и приватность

PCI DSS: сегментация зон, сокращение «Cardholder Data Environment» (CDE), токенизация, сканы/пен-тесты.
GDPR/локальные аналоги: минимизация данных, DSR/удаление, аудит доступов.
Supply-chain security: подписанные сборки, SBOM, SAST/DAST, ключи/секреты (HSM/KMS), tamper-evident логи.

5) Оркестрация PSP и маршрутизация

Алгоритм маршрутизации (эталон)

1. Пре-скоринг: GEO, BIN/IIN, риск-профиль, чек.
2. Правила стоимости/успешности: исторический Auth Rate × Fee → скор PSP.
3. Техническое здоровье: latency/ошибки/баунсы — realtime штраф.
4. 3DS/SCA политика: TRA/Exemptions → выбор флоу.
5. Каскад: PSP-A → PSP-B → APM → open banking; сохраняем идемпотентность.

Smart Retry

Разносим «reason codes», применяем time-backoff, меняем 3DS-стратегию, gateway account, BIN-white/black-lists.
Храним «payment intent» и idempotency key, чтобы избежать двойной нагрузки на Ledger.

6) Региональные архетипы (быстрые рецепты)

ЕС/Великобритания: PSD2/SCA, SEPA Instant, Faster Payments, карты + open banking; высокий вес 3DS-стратегии и афиллиатов.
США: карты + ACH (двухэтапные проверки), PayPal/Cash App; ретеншн на мгновенных P2P-выплатах, чарджбек-управление критично.
ЛАТАМ: Pix (Бразилия), SPEI (Мексика), PSE (Колумбия), ваучеры/наличные; путь — APM-heavy, антифрод по устройствам и документам.
Турция/ЦА: локальные АPM/крипто-мосты (если разрешено), банковские переводы; высокий удельный вес AML/санкций.
Индия/Азия: UPI, e-кошельки, локальные сети карт; лимиты, velocity и real-time риск.

7) Ответственная игра (RG) в платежном контуре

Лимиты: депозиты/потери/время/выводы; cool-off и самоисключение → блокировки всех платежных каналов.
Affordability: проверка доступности расходов (open banking/кредитные индикаторы) — мягкие запросы.
Маркетинг: запрет «без риска»; прозрачные T&C бонусов; контроль аффилиатов/источника трафика.

8) Отчетность, аналитика и прогноз

Ежедневные отчеты: Authorizations, Declines by reason, Chargeback rate, Refund rate, Payout time, Net Payment Margin.
Кросс-сверка: Ledger ↔ PSP Payouts ↔ Банк; триангуляция аномалий.
Прогнозы: сезонность конверсии, эластичность на комиссию/фрод-порог, потребность в оборотном капитале на выплаты.

9) KPI/метрики (ориентиры)

Auth Rate (карты): EU 85–92%, US 80–88%, LATAM 70–85% (до оркестрации).
Share of Instant Payouts: ≥ 70% по «легковым» чекам.
Chargeback Rate: < 0.5% по count, 0.9% по volume (зависит от продукта/региона).
3DS Challenge Rate: < 10–20% (сегментно), Frictionless ≥ 70%.
PSP Concentration: Herfindahl-индекс < 0.35 (диверсификация).
OPEX на платежи (в % от депозита): целевой коридор 1.2–2.0% при зрелой оркестрации.

10) Инциденты и устойчивость

Playbooks: массовые Declines (issuer/PSP outage), 3DS ACS деградация, Pix/UPI задержки, банк-праздники, всплеск чарджбеков.
Фичи устойчивости: термин «grace balance» на короткий период (только для безопасных профилей), авто-switch APM, «queued payouts» при сбое банка, «circuit breaker» для аномалий.
Коммуникации: статус-страница, шаблоны уведомлений, компенсации/ваучеры.

11) Комплаенс-чек-листы

PCI DSS

• Сегментация CDE, токенизация, PAN вне приложений.
• Ежегодная аттестация, сканы, пен-тесты, регистры доступа.

GDPR/Privacy

• Data minimization, DSR/удаление, DPIA для антифрода, шифрование at-rest/in-transit.
• DPA с PSP/провайдерами, трансграничные потоки.

KYC/AML

• Политики CDD/EDD, санкции/PEP, KYT, сценарии STR/SAR.
• Пороговые лимиты и пересмотры; журнал решений.

RG/Маркетинг

• Лимиты/самоисключение, видимые дисклеймеры.
• Аудит аффилиатов, запрет youth-таргетинга.

12) Архитектурный эталон (слои)

1. Checkout Layer (UI/локализация/APM Discovery).
2. Payment Orchestrator (routing, retries, rules, A/B).
3. Risk Engine (device, behavior, ML, 3DS policy).
4. Compliance Hub (KYC, sanctions, KYT, RG).
5. Wallet & Ledgers (игровой/денежный, бонус-пассивы).
6. Reconciliation & Reporting (PSP/банк/GL, налоги).
7. Observability & Security (metrics/logs/traces, PCI/GDPR).
8. Data/ML (фрод-модели, LTV-скоринг, персонализация лимитов).

13) Дорожная карта внедрения

Фаза 0 (2–4 недели): аудит текущих PSP/метрик, GAP по PCI/KYC/RG, постановка KPI, выбор оркестратора.
Фаза 1 (6–8 недель): мульти-PSP прием + open banking/APM, базовый антифрод, 3DS-политика, токенизация.
Фаза 2 (8–12 недель): instant payouts, KYT, полные сверки T+0/T+1, отчетность CFO.
Фаза 3 (12+ недель): ML-фрод, динамическая маршрутизация по стоимости/успеху, affordability, real-time «circuit breaker».

14) Что важно запомнить

Платежная архитектура — это оркестрация: правильная комбинация каналов, PSP и антифрода повышает конверсию и снижает издержки.
Безопасность/комплаенс (PCI, GDPR, KYC/AML, RG) — фундамент; без них масштабирование опасно.
Сверки и учет — опора для CFO/аудита: T+0/T+1, полная трассируемость, раздельные леджеры.
Региональность решает: открывайте локальные рельсы (Pix/UPI/SEPA Instant/FPS) и адаптируйте UX и 3DS-стратегию под банк-эмитент/регион.