Платіжна архітектура в iGaming

Платіжна архітектура в iGaming

1) Роль платежів в P&L і комплаєнсі

• Конверсія депозиту (Auth Rate, Friction, 3DS/SCA) і швидкість виведення (T + 0/T + 1).
• Вартість: MDR/інтерчейндж, збори PSP/банків, FX/конверсія, антифрод/чарджбеки.
• Ризик і регуляторика: KYC/AML, лимиты и Responsible Gaming (RG), PSD2/SCA/GDPR/PCI DSS.
• Надійність: відмовостійкість, failover PSP, рознесення ризиків і стабільні SLA.

2) Цільовий ландшафт

Канали вводу: картки (Visa/Mastercard/MIR/UnionPay), APM (Apple/Google Pay), open banking/instant payments (SEPA Instant, Faster Payments, Pix, UPI), e гаманці, ваучери, термінали готівки (локальні).
Канали виводу: вихідні SEPA/ACH/FPS, Pix/UPI, card-to-card (OCT/Original Credit Transfer), гаманці, локальні рейки; для «cash at cage» - офлайн-виплати.
Проміжні шари: PSP-оркестратор, антифрод, комплаєнс-шлюз (KYC/AML/санкції), Ledger (ігровий/грошовий), сховище токенів, звірки (Reconciliation), звітність.

3) Функціональні домени

3. 1 Прийом платежів (Acquiring)

Смарт-маршрутизація: вибір PSP по BIN/країні/банку/чеку ризику/вартості; каскад (Retry → Alt-PSP) і partial approvals.
3DS/SCA: динамічна оркестрація (frictionless vs challenge), TRA/Whitelisting, PSD2-винятки (LVA, MOTO, MIT).
Токенізація: сейфкарди і мережеві токени (NTokens), COF/CIT/MIT фреймінг, vaulted cards.
UI/UX: локалізація валют, автодетект APM по GEO/UA, «1-клік» після KYC, прозорі збори/ліміти.

3. 2 Виплати (Payouts)

Правила пріоритету: швидкість (instant/near-instant), вартість, доступність каналу.
Анти-арб і RG: відкладені висновки (cool-off), перевірки джерела коштів, velocity-ліміти, відкладення спірних виграшів (fraud/AML).
KYT (Know Your Transaction): моніторинг патернів (мулінг/обнал), зв'язку пристроїв і карт, списки винятків.

3. 3 Антифрод і ризик

Сигнали: девайс-фінгерпринт, поведінкова біометрія, BIN/дебіт-кредит, проксі/VPN, velocity, рантайм-евенти з ігрового ядра (аномально швидкий win→withdraw).
Скоринг: гібрид ML + правила (weighted features, SHAP-контроль), A/B на політиці порогів.
3DS стратегія: таргетуємо тільки високоризик/високий чек; оптимізуємо «challenge rate» і «frictionless share».
Чарджбеки: ранній алерт, Order Insight/CAA, RDR/ODR (вендорні), дані доказів (KYC, IP, логін-трейс, ігровий лог).

3. 4 KYC/AML/Санкції/PEP

Tiering: L0 (email/телефон) → L1 (ID/вік) → L2 (Proof of Address/SOW/SOF) → L3 (EDD).
Санкції/РЕР: оркестрація провайдерів, fuzzy-матчинг, авто-ескалації.
Транзакційний моніторинг: правила + ML, сценарії SAR/STR, порогові звіти, рубежі для готівки/крипто-мостів (якщо застосовно).
Періодичність оновлення KYC: ризик-базова; евенти (зміна пристрою/каналу/поведінки) тригерят refresh.

3. 5 Ledger, гаманці та облік

Двооблік: Ігровий Ledger (баланс, ставки, виграші, бонусні зобов'язання) і Грошовий Ledger (депозити/висновки/комісії/податки).
Відкладені зобов'язання: бонуси/фріспіни/джекпоти/прогресивні - як пасиви.
Звірки: T + 0/T + 1 з PSP/банками, discovery нестикувань, автосоздание коригувань.
Мультивалюта/FX: спотовий/конверсійний облік, довідник курсів (провайдер), PnL по FX-дельті.

4) Нефункціональні вимоги

Наявність і масштаб

Active-active оркестратор (multi-region), автоматичний failover PSP, деградація зі збереженням ядрового шляху.
SLO/SLA: прийом ≥ 99. 95%, середня авторизація <3 с, успішність каскаду <7 с; виплати instant ≤ 60 с (частка), near-instant ≤ 15 хв.

Безпека і приватність

PCI DSS: сегментація зон, скорочення «Cardholder Data Environment» (CDE), токенізація, скани/пен-тести.
GDPR/локальні аналоги: мінімізація даних, DSR/видалення, аудит доступів.
Supply-chain security: підписані збірки, SBOM, SAST/DAST, ключі/секрети (HSM/KMS), tamper-evident логи.

5) Оркестрація PSP і маршрутизація

Алгоритм маршрутизації (еталон)

1. Пре-скоринг: GEO, BIN/IIN, ризик-профіль, чек.
2. Правила вартості/успішності: історичний Auth Rate × Fee → швидкий PSP.
3. Технічне здоров'я: latency/помилки/баунси - realtime штраф.
4. 3DS/SCA політика: TRA/Exemptions → вибір флоу.
5. Каскад: PSP-A → PSP-B → APM → open banking; зберігаємо ідемпотентність.

Smart Retry

Розносимо «reason codes», застосовуємо time-backoff, змінюємо 3DS-стратегію, gateway account, BIN-white/black-lists.
Зберігаємо «payment intent» і idempotency key, щоб уникнути подвійного навантаження на Ledger.

6) Регіональні архетипи (швидкі рецепти)

ЄС/Великобританія: PSD2/SCA, SEPA Instant, Faster Payments, карты + open banking; висока вага 3DS-стратегії та афіліатів.
США: карти + ACH (двоетапні перевірки), PayPal/Cash App; ретеншн на миттєвих P2P-виплатах, чарджбек-управління критично.
ЛАТАМ: Pix (Бразилія), SPEI (Мексика), PSE (Колумбія), ваучери/готівка; шлях - APM-heavy, антифрод по пристроях і документах.
Туреччина/ЦА: локальні АРМ/крипто-мости (якщо дозволено), банківські перекази; висока питома вага AML/санкцій.
Індія/Азія: UPI, e-гаманці, локальні мережі карт; ліміти, velocity і real-time ризик.

7) Відповідальна гра (RG) в платіжному контурі

Ліміти: депозити/втрати/час/висновки; cool-off і самовиключення → блокування всіх платіжних каналів.
Affordability: перевірка доступності витрат (open banking/кредитні індикатори) - м'які запити.
Маркетинг: заборона «без ризику»; прозорі T&C бонусів; контроль афіліатів/джерела трафіку.

8) Звітність, аналітика та прогноз

Щоденні звіти: Authorizations, Declines by reason, Chargeback rate, Refund rate, Payout time, Net Payment Margin.
Крос-звірка: Ledger ↔ PSP Payouts ↔ Банк; тріангуляція аномалій.
Прогнози: сезонність конверсії, еластичність на комісію/фрод-поріг, потреба в оборотному капіталі на виплати.

9) KPI/метрики (орієнтири)

Auth Rate (карти): EU 85-92%, US 80-88%, LATAM 70-85% (до оркестрації).
Share of Instant Payouts: ≥ 70% по «легкових» чеках.
Chargeback Rate: < 0. 5% по count, 0. 9% по volume (залежить від продукту/регіону).
3DS Challenge Rate: <10-20% (сегментно), Frictionless ≥ 70%.
PSP Concentration: Herfindahl-індекс <0. 35 (диверсифікація).
OPEX на платежі (у% від депозиту): цільовий коридор 1. 2–2. 0% при зрілій оркестрації.

10) Інциденти і стійкість

Playbooks: масові Declines (issuer/PSP outage), 3DS ACS деградація, Pix/UPI затримки, банк-свята, сплеск чарджбеків.
Фічі стійкості: термін «grace balance» на короткий період (тільки для безпечних профілів), авто-switch APM, «queued payouts» при збої банку, «circuit breaker» для аномалій.
Комунікації: статус-сторінка, шаблони повідомлень, компенсації/ваучери.

11) Комплаєнс-чек-листи

PCI DSS

• Сегментація CDE, токенізація, PAN поза додатками.
• Щорічна атестація, скани, пен-тести, регістри доступу.

GDPR/Privacy

• Data minimization, DSR/видалення, DPIA для антифрода, шифрування at-rest/in-transit.
• DPA з PSP/провайдерами, транскордонні потоки.

KYC/AML

• Політики CDD/EDD, санкції/РЕР, KYT, сценарії STR/SAR.
• Порогові ліміти та перегляди; журнал рішень.

RG/Маркетинг

• Ліміти/самовиключення, видимі дисклеймери.
• Аудит афіліатів, заборона youth-таргетингу.

12) Архітектурний еталон (шари)

1. Checkout Layer (UI/локалізація/APM Discovery).
2. Payment Orchestrator (routing, retries, rules, A/B).
3. Risk Engine (device, behavior, ML, 3DS policy).
4. Compliance Hub (KYC, sanctions, KYT, RG).
5. Wallet & Ledgers (ігровий/грошовий, бонус-пасиви).
6. Reconciliation & Reporting (PSP/банк/GL, податки).
7. Observability & Security (metrics/logs/traces, PCI/GDPR).
8. Data/ML (фрод-моделі, LTV-скоринг, персоналізація лімітів).

13) Дорожня карта впровадження

Фаза 0 (2-4 тижні): аудит поточних PSP/метрик, GAP по PCI/KYC/RG, постановка KPI, вибір оркестратора.
Фаза 1 (6-8 тижнів): мульти-PSP прийом + open banking/APM, базовий антифрод, 3DS-політика, токенізація.
Фаза 2 (8-12 тижнів): instant payouts, KYT, повні звірки T + 0/T + 1, звітність CFO.
Фаза 3 (12 + тижнів): ML-фрод, динамічна маршрутизація за вартістю/успіхом, affordability, real-time «circuit breaker».

14) Що важливо запам'ятати

Платіжна архітектура - це оркестрація: правильна комбінація каналів, PSP і антифроду підвищує конверсію і знижує витрати.
Безпека/комплаєнс (PCI, GDPR, KYC/AML, RG) - фундамент; без них масштабування небезпечне.
Звірки та облік - опора для CFO/аудиту: T + 0/T + 1, повна трассируемость, роздільні леджери.
Регіональність вирішує: відкривайте локальні рейки (Pix/UPI/SEPA Instant/FPS) і адаптуйте UX і 3DS-стратегію під банк-емітент/регіон.