Hız sınırları ve anti-istismar

1) Hız nedir ve neden gereklidir

• Dolandırıcılığı ve ikramiye/promosyonların sömürülmesini azaltmak,
• Ödeme altyapısını retrays "fırtınalarından" koruyun,
• Şüpheli girişimleri mümkün olan yerlerde "sert başarısızlık" yerine meydan okumaya (3DS/SCA) dönüştürerek sağlıklı bir dönüşüm sağlayın.

Hız kontrolleri tamamlayıcı puanlama, AVS/CVV, 3DS2/SCA ve akıllı yönlendirme.

2) Hangi varlıkların sınırlandırılacağı (kapsamlar)

• Ödeme birimleri: 'card _ token' (kasa/ağ),'bin ',' ihraççı ',' psp _ route '.
• Özel: 'Account _ id', 'kyc _ level','e-posta/telefon '.
• Teknik: 'device _ id' (parmak izi/SDK), 'ip', 'asn', 'session _ id'.
• İş bağlamı: 'Bonus _ id', 'campaign _ id', 'country', 'mcc 7995' alt tipi (depozito/çıktı).
• Finansal: 'Amount _ bucket' (mikro/orta/büyük), 'currency', 'payment _ method'.

3) Windows ve sayaçlar

Sabit pencere (T = 15m/1h/24h) - basit, ancak sınırlara duyarlı.
Sürgülü pencere - daha doğrusu, "sürgülü'bir aralıkta sayılır.
Sızdıran kova/Token kovası - patlamaları düzeltin, kararlı bant genişliği ayarlayın.
Kombine: patlama (kısa patlama) + sürekli (uzun akış).

• 'device _ id': 15 dakika içinde ≤ 3 yetkilendirme denemesi, 24 saat içinde ≤ 10.
• 'card _ token': 3DS olmadan ≤ 2 ardışık düşüş; Üçüncüsü ise zorunlu 3DS.
• 'ip': Saatte ≤ 5 benzersiz 'card _ token' (diğer adıyla captcha/block).
• 'account _ id': Arka arkaya ≤ 2 iptal edilen mevduat; Daha ileri - kuldown 1 saat.

4) Kısıtlama algoritmaları (kısa)

• 'Capacity've' refill _ rate'i başlatın.
• Her denemeden önce, "çıkar" 1 belirteç; Belirteçler yoksa - meydan okuma/reddetme.

• Kuyruk sabit bir oranda sızıyor; Gelen olaylar taşma - gaz.

1. tekrarlama: 2-5 dakika - 2.: 10-20 dakika - 3.: 1-2 saat - dur veya alternatif bir yönteme geç.

5) Karar politikaları

• İzin ver: düşük risk, eşikler içinde.
• Meydan okuma: "yumuşak" eşiği aştı - 3DS/SCA/captcha/KBA (sorular).
• Gaz kelebeği: Şeffaf UX ile geçici olarak kısıtlayın (bekleme süresi).
• Düşüş: brüt ihlaller (kartların toplu olarak aranması, bot havuzları, bonus kötüye kullanımı).
• Yeniden yönlendirme: PSP/yöntemin değiştirilmesi (örn. A2A) ihraççıda '91/96' spike ile.

Örneklerin mini matrisi

'device _ id', 15 dakika içinde ≥ 3'e ve 'cvv = N' ≥2 'Reddet + captcha'ya saldırır.
'card _ token' 2 soft-decline - 3DS-challenge (gerekli).
'ip' ≥ 30 dakika içinde 5 benzersiz 'account _ id'> 30 dakika + KYC kontrolü.
'account _ id' deposit-withdrawal-deposit in 10 minutes (carousel) - Meydan okuma veya miktar limiti.

6) Mevduat, geri çekilme ve para çekme için hız

• "Mikro doldurma'yı koruyun (birçok küçük işlem): T başına miktar ve toplam ciro sınırı.
• '05'/' 14'/' 54' dizisiyle - ayrıntıların "aranmasını" durdurun, 3DS'ye çevirin.

• CIT ve MIT kuyruklarını yayınlayın. MIT için yumuşak T + 1/T + 24 saat pencereleri kullanın.
• Yumuşak düşüş 'SCA gerekli' - hemen 3DS, girişimleri yakmayın.

• Miktar/frekans için bireysel limitler: Örneğin ≤ miktar/hafta başına 2 çıkış/24 saat ve ≤ N.
• KYC "merdiven": Çek ne kadar yüksekse, sınırlar da o kadar yüksektir.
• Algılama "daire": hızlı para yatırma ve anında para çekme - manuel inceleme/bekletme.

7) Kötüye kullanım karşıtı promosyon ve bonuslar

Kampanya başına büyük harf: 'Bonus _ id' ≤ 'device _ id'/' ip'/' payment _ fingerprint' üzerindeki X etkinleştirmeleri.
"Fişler" (hesaplar arasında para transferi): Ortak kartların/IP/cihazların grafik analizi.
Serinletici pencereler: bir bonus depozitosundan sonra - anlık çıktının yasaklanması, ToS'de şeffaf kurallar.
Seviyeye göre yaptırımlar: geçici kilitlerden "sonsuza dek", nedenlerin bir günlüğü ile.

8) Mimarlık: hız kurallarının nerede yaşanacağı

Gerçek zamanlı ağ geçidi (orkestratörde): 50-100 ms ≤ çözüm.
Sayaç depolama: Bellek içi (Redis/KeyDB) + uzun süreli "özetler" (DWH).
Fichestor: tek pencereler/agregalar (15m/1h/24h/7d).
Kural motoru + ML puanlama: Modelin üstünde "güvenlik ağı" kuralları.

Yapılandırma bayrakları: "açma" 3DS, "X bölgesinde daha katı", "PSP-A'yı duraklat"

Idempotence: Tekrarlarda/zaman aşımlarında kopyalara karşı koruma.

9) Sahte kurallar kodu (kroki)

pseudo on payment_attempt(ctx):
s = features(ctx) // device/ip/account/bin/score/avs/cvv/history if counter(device, 15m) >= 3 and cvv_fail(device, 15m) >= 2:
return DECLINE(reason="velocity_device_cvv")
if soft_declines(card_token, 1h) >= 2:
return CHALLENGE_3DS()
if uniq_accounts(ip, 30m) >= 5:
return THROTTLE(ttl=30m)
if score > T2 and velocity(account, 1h) > Vmax:
return DECLINE(reason="high_risk_burst")
return ALLOW

10) UX desenleri (dönüşümü bozmaz)

Net mesajlar: "Kısa sürede çok fazla deneme. Lütfen 15 dakika içinde deneyin veya bankadan onaylayın.
Daha Sonra düğmesini zamanlayıcı ile tekrarlayın.
Alternatifler sunmak: Kısarken cüzdanları A2A/local.
SCA-soft ile ayrıntıları tekrar girmeden Auto-3DS.
Captcha sadece pointwise (IP/ASN/bot sinyalleri ile), herkese değil.

11) Uyumluluk ve gizlilik

GDPR/PII: minimum tanımlayıcıları (cihaz karmaları, kart belirteçleri, last4), şeffaf politikaları saklayın.
PCI DSS: günlüklerde PAN/CVV yok; Hassas veriler olmadan hız olayları.
PSD2/SCA: Toplam başarısızlıklar yerine, aşırılıkları uygun olduğunda meydan okumaya dönüştürmek.

12) Metrikler, uyarılar, SLO

• Onay Oranı (genel ve kurallar tetiklendiğinde).
• Yanlış Pozitif Hız hızı kuralları (dürüst blokların payı - sonraki meşruiyetle).
• Geri çekilmelerin "fırtınalarının" sayısı ve ortalama iyileşme süresi.
• Düşüş yüzdesi - başarı ile meydan okuma transferleri.
• Sınırların çalıştığı segmentlerde ters ibraz oranı (↓ bekliyoruz).

• Spike '05/14/54' + girişimlerde artış> BIN/ASN kümesinde 15 dakikada X.
• Burst '91/96' - PSP-B'de otomatik yükselen T1 eşiği + yönlendirme
• FP-oranı kuralları> hedef (örneğin, 1. 5 × haftalık ortalama).

• Hız çözümü ≤ 100ms p95.
• Başarısız ≥ hedefi yerine 3DS'ye aktarılan başarılı ödemelerin yüzdesi.

13) Anti-desenler

Tüm pazarlar ve müşteri türleri için evrensel "toplam" limiti.
AVS'nin normal çalışmadığı ülkelerde 'AVS = U/S/G'tarafından engelleyin.
CIT/MIT'yi ayırmayın - abonelikleri/tekrarları keser.
Jitter ve idempotence olmadan yeniden eğitim - alır ve fırtınalar.
Reddetme nedenlerini gizleyin - destek ve toksisite artıyor.

14) Uygulama kontrol listesi

• Varlık haritası (kapsamlar) ve pencereler (15m/1h/24h/7d).
• Algoritma seçimi: Patlamalar için kayar + belirteç kovası.
• Dönüş normalleştirme: backoff + jitter, CIT/MIT için ayrı.
• 3DS/SCA ile entegrasyon: Yumuşak overclock'lar için otomatik zorluk.
• Sonuçlar ve bonuslar için ayrı sınırlar; Grafik kontrol ilişkileri.
• Gözlemlenebilirlik: KPI/uyarı/kural denetim panoları.
• UX mesaj şablonları ve alternatif yöntemler.
• PCI/GDPR politikaları: belirteçler, maskeleme, PII minimizasyonu.
• A/B, pazar/BIN/ASN ve müşteri profilleri tarafından yapılan testleri eşikler.
• Olay playbooks: Veren/PSP bozulması, bot spike.

15) Özet

Etkili hız limitleri, çeşitli varlıklar için çok seviyeli pencereler ve sayaçlar, kenar yumuşatma algoritmaları (belirteç/sızdıran kova), akıllı retrays ve 3DS/SCA ve puanlama ile sıkı iletişimdir. Böyle bir devre dolandırıcılık ve kötüye kullanımı azaltır, dönüşümü engellemez ve ihraççıların ve trafiğin volatilitesi ile istikrarlı bir şekilde para kazanmaya yardımcı olur.