Velocity-çäklendirmeler we hyýanatçylyga garşy

1) Velocity näme we näme üçin zerur?

• bonuslary/mahabaty azaltmak,
• töleg infrastrukturasyny retraýlaryň "tupanlaryndan" goramak,
• mümkin bolan ýerlerde "berk boýun gaçyrmagyň" ýerine şübheli synanyşyklary çagyryşa (3DS/SCA) geçirip, sagdyn öwrülişigi saklamak.

"Velocity-controls" skoring, AVS/CVV, 3DS2/SCA we smart-routing bilen doldurylýar.

2) Haýsy manylary çäklendirmeli (skopes)

• Töleg häsiýetleri: 'card _ token' (vault/network), 'bin', 'issuer', 'psp _ route'.
• Ulanyjy: 'account _ id', 'kyc _ level', 'email/phone'.
• Tehniki: 'device _ id' (fingerprint/SDK), 'ip', 'asn', 'session _ id'.
• Iş mazmuny: 'bonus _ id', 'campaign _ id', 'country', 'mcc 7995' subtip (depozit/çykarmak).
• Maliýe: 'amount _ bucket' (mikro/orta/uly), 'currency', 'payment _ method'.

3) Penjireler we hasaplaýjylar

Fixed window (T = 15m/1h/24h) - ýönekeý, ýöne çäklere duýgur.
Sliding window - has takygy, "süýşýän" aralyk boýunça hasaplaýar.
Leaky bucket/Token bucket - partlamalary tekizleýär, durnukly geçiriş ukybyny berýär.
Kombinirlenen: burst (gysga partlama) + sustained (uzak akym).

• 'device _ id': ≤ 15 minutda 3 sany ygtyýarnama synanyşygy; 24 sagatda 10 ≤.
• 'card _ token': 3DS-siz yzly-yzyna 2 decline ≤; üçünjisi hökmany 3DS.
• 'ip': ≤ 5 täsin 'card _ token' 1 sagatda (ýogsam - kapça/blok).
• 'account _ id': yzly-yzyna ýatyrylan 2 depozit ≤; mundan beýläk - kuldaun 1 sagat.

4) Çäklendirmeleriň algoritmleri (gysgaça)

• 'capacity' we 'refill _ rate' -ni açyň.
• Her synanyşykdan öň 1 belgini "çykaryň"; eger bellikler ýok bolsa - challenge/decline.

• Nobat yzygiderli tizlikde akýar; Gelýän wakalar - throttle.

• 1-nji gaýtalamak: 2-5 minut → 2-nji: 10-20 minut → 3-nji: 1-2 sagat → dur, ýa-da alternatiw usula terjime.

5) Çözgütler syýasaty (decisioning)

• Allow: pes töwekgelçilik, çäkleriň içinde.
• Challenge: "ýumşak" çäkden geçdi → 3DS/SCA/kapça/KBA (soraglar).
• Throttle: Aç-açan UX bilen wagtlaýyn çäklendiriň.
• Decline: gödek düzgün bozmalar (kartoçkalary, bot-pullary, bonus-hyýanatçylyklary).
• Reroute: PSP/usulyň üýtgemegi (mysal üçin, A2A) emitentde '91/96' ýokarlananda.

Mysallaryň kiçi matrisi

'device _ id' 15 minutda 3 ≥ synanyşyk we 'cvv = N' ≥ 2 → Decline + kapça.
'card _ token' 2 soft-decline → 3DS-challenge (hökmany).
'ip' ≥ 5 täsin 'account _ id' 30 minutda → Throttle 30 minut + KYC-barlag.
'account _ id' depozit-çykarmak-goýum 10 minutda (karusel) → Kynçylyk ýa-da mukdar boýunça çäk.

6) Goýumlar, retraýlar we netijeler üçin Velocity

• "Mikro-doldurgyçlary" goraň (ownuk amallaryň köpüsi): T. üçin mukdar we umumy dolanyşyk çäkleri.
• '05 '/' 14 '/' 54' tapgyrynda - "artykmaç" rekwizitleri duruzyň, 3DS-e geçiriň.

• CIT we MIT nobatlary. MIT üçin T + 1/T + 24h ýumşak penjireleri ulanyň.
• Soft-decline 'SCA required' → derrew 3DS, synanyşyklary ýakmaň.

• Jemi/ýygylyk üçin aýry-aýry çäkler: mysal üçin, jemi/hepdede 2 ≤/24h we N ≤.
• "Basgançak" KYC: Barlag näçe ýokary bolsa, çäklendirmeler şonça ýokary bolýar.
• "Circling" detekti: çalt goýum we derrew yzyna almak - manual review/hold.

7) Anti-hyýanatçylykly mahabat we bonuslar

Per-campaign caps: 'bonus _ id' ≤ 'device _ id '/' ip '/' payment _ fingerprint'.
"Çatallar" (hasaplaryň arasynda pul geçirmek): umumy kartlaryň/IP/enjamlaryň graf-derňewi.
Cool-off windows: bonus-goýumdan soň - derrew yzyna almagy gadagan etmek, ToS-de aç-açan düzgünler.
Derejeler boýunça sanksiýalar: wagtlaýyn petiklemelerden başlap, sebäpler magazineurnaly bilen "hemişelik" -e çenli.

8) Arhitektura: velocity-düzgünleri bilen nirede ýaşamak

Real-time şlýuz (orkestratorda): çözgüt ≤ 50-100 ms.
Hasaplaýjylaryň ammary: in-memory (Redis/KeyDB) + uzak möhletli "habarlar" (DWH).
Fichestor: ýekeje penjireler/agregatlar (15m/1h/24h/7d).
Rule engine + ML skoring: modeliň üstünde "safety-net" düzgünleri.
-baýdaklar: "3DS goşmak", "X sebitinde has berk", "PSP-A arakesmesi".
Idempotentlik: gaýtalananda/taýaut geçirilende dublikatlardan goramak.

9) Düzgünleriň ýalan resminamasy (eskiz)

pseudo on payment_attempt(ctx):
s = features(ctx) // device/ip/account/bin/score/avs/cvv/history if counter(device, 15m) >= 3 and cvv_fail(device, 15m) >= 2:
return DECLINE(reason="velocity_device_cvv")
if soft_declines(card_token, 1h) >= 2:
return CHALLENGE_3DS()
if uniq_accounts(ip, 30m) >= 5:
return THROTTLE(ttl=30m)
if score > T2 and velocity(account, 1h) > Vmax:
return DECLINE(reason="high_risk_burst")
return ALLOW

10) UX-patternler (öwrülişigi bozman)

Açyk habarlar: "Gysga wagtyň içinde gaty köp synanyşyk. 15 minutdan soň synap görüň ýa-da bankda tassyklaň".
Taýmer bilen "Soň gaýtala" düwmesi.
Alternatiwalar teklibi: A2A/trottling wagtynda ýerli gapjyklar.
Awto-3DS, SCA-soft-da rekwizitleri gaýtadan girizmezden.
Kapça diňe nokat boýunça (IP/ASN/bot-signallar boýunça), hemmelere däl.

11) Gabat gelmek we gizlinlik

GDPR/PII: iň az kesgitleýjileri (enjam heşleri, kart bellikleri, last4), aç-açan syýasatlary saklaň.
PCI DSS: ýazgylarda PAN/CVV ýok; duýgur maglumatlary bolmadyk velocity wakalary.
PSD2/SCA: umumy ret etmegiň ýerine artykmaçlyklary ýerlikli ýerlerde challenge geçiriň.

12) Metrikler, alertler, SLO

• Approval Rate (umumy we düzgünleriň işleýşi).
• "False Positive Rate" velocity düzgünleri (dogruçyl bloklaryň paýy → soňraky kanunylyk boýunça).
• "Tupanlaryň" sany we ortaça dikeldiş wagty.
• Üstünlikli tamamlanan decline → challenge geçirimleriniň paýy.
• Çäkleriň işleýän segmentlerinde Çargeback rate (garaşýarys ↓).

• Spaýk '05/14/54' + BIN/ASN klasterinde 15 minutda synanyşyklaryň köpelmegi> X.
• Patlama '91/96' → PSP-B.-de T1 + routing bosagasynyň awto-ýokarlanmagy
• FP-rate düzgünleri> maksat (mysal üçin 1. 5 × hepdelik araçylar).

• Velocity çözgüdi ≤ 100 ms p95.
• Maksatly ≥ ret etmegiň ýerine 3DS-e geçirilen üstünlikli tölegleriň paýy.

13) Anti-patternler

Ähli bazarlar we müşderileriň görnüşleri üçin ähliumumy "umumy" çäk.
AVS-iň kadaly işlemeýän ýurtlarynda 'AVS = U/S/G' -ni blokirläň.
CIT/MIT paýlaşmaň - abunalyklary/gaýtalamalary bozýar.
Jitter we idempotentlik bolmazdan - goşa we tupan.
Ret etmegiň sebäplerini gizlemek - sapport we zäherlilik artýar.

14) Girizmegiň çek-sanawy

• Jandarlar kartasy (skopes) we penjireler (15m/1h/24h/7d).
• Algoritmleri saýlamak: bursts üçin sliding + token bucket.
• Retraýlaryň kadalaşmagy: backoff + jitter, CIT/MIT üçin aýratyn.
• 3DS/SCA bilen integrasiýa: ýumşak artykmaçlyklarda awto-challenge.
• Netijeler we bonuslar üçin aýratyn çäkler; baglanyşyklary barlamak.
• Syn edilişi: KPI daşbordlary/alertler/düzgünleriň barlagy.
• UX habar şablonlary we alternatiw usullar.
• PCI/GDPR syýasaty: bellikler, gizlemek, PII-ni azaltmak.
• Bazarlar/BIN/ASN we müşderileriň profilleri boýunça bosagalaryň A/B synaglary.
• Wakalaryň oýun kitaplary: emitentiň/PSP-iň zaýalanmagy, botlaryň köpelmegi.

15) Gysgaça mazmuny

Täsirli velocity-çäkleri dürli zatlar boýunça köp derejeli penjireler we hasaplaýjylar, tekizlemek algoritmleri (token/leaky bucket), akylly retralar we 3DS/SCA we skoring bilen ýakyn baglanyşyk. Şeýle kontur frody we hyýanatçylygy azaldýar, öwrülişigi bogmaýar we emitentleriň we traffigiň üýtgemegi bilen durnukly monetizasiýa saklamaga kömek edýär.