15 ноября, четверг 08:48
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Антифродовые фильтры

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Антифродовые фильтры

    Всем привет!

    Хотелось бы услышать мнение коллег об антифродовом фильтре RBS

    http://www.paymentgate.ru/bpcservlet/BPC/Fraude.jsp

    и других подобных сервисах. В чем слабые и сильные стороны? Позволит ли этот механизм радикально снизить риски торговца?

    В частности, написано

    Внизу таблицы детальных антифродовых критериев находиться интерфейс для ввода списка черных номеров карточек. Например, если у вашего магазина уже имеется список платежных карт, по которым часто приходят возвраты (chargback), то вы можете внести за одно нажатие кнопки сразу весь список, поместив его в текстовое поле. Номера карт или банковские бины должны быть разделены пробелом или символом возврата каретки.

    То есть торговец должен сначала "попасть" на chargeback, а потом уже сможет решит обслуживать дальше эту карточку или нет. Причем, если я правильно понял, торговец в процессе платежа параметры карты не видит и может лишь по факту списания средств увидеть номер карты и удивиться chargeback-у.

    Кстати, откуда можно взять бины банков для внесения в black list?
    Последний раз редактировалось Zepp; 08.04.2002, 15:18.

  • #2
    Сам торговец ничего не видит, а подобные системы должны быть установлены в банке эквайере, который собственно и участвуетв разборках по мошенническим транзакциям (не магазин!)

    С уважением,
    Алексей
    С уважением,
    Алексей

    Комментарий


    • #3
      находиться chargback -- а вдруг они и в предметной области делают столько же ошибок?

      Комментарий


      • #4
        Понятно, что подобными системами располагает банк эквайер. Понятно, что paymentgate занимается мониторингом транзакций. В данном случае магазину предоставлена возможность устанавливать еще и собственную политику безопасности. Одно не отменяет другое.

        Комментарий


        • #5
          Будет видеть магазин транзакции или нет зависит от схемы взаимодействия магазин-процессинг. Таким образом, данный фильтр не может быть установлен на все без исключения виртуальные магазины даже теоретически.
          С уважением,
          Алексей

          Комментарий


          • #6
            Господа!

            Может кто-нибудь популярно объяснить, зачем это нужно магазину? В моем понимании это вопрос эквайера.

            Софт дело хорошее, но этим же должен кто-то заниматься. Т.е. магазин должен посадить у себя соответствующего специалиста?

            Или я чего не понял.

            Комментарий


            • #7
              Прочитал, интересное, на мой взгляд решение, на западе нечто подобное работает.

              rost7 - интернет магазину интересно, и занимаются.
              Душа - Богу, Жизнь - Отечеству, Честь - никому.

              Комментарий


              • #8
                Данный фильтр может быть установлен на все без исключения виртуальные магазины. Дело в том, что магазину не надо ждать, когда придет chargeback, чтобы внести номер этой карты в "черный список". В общем случае, магазин и не должен видеть реквизиты карты. Сотрудники службы безопасности обычно руководствуются методами, отличными от обучения на собственных ошибках. Когда в компании настраивают Firewall, можно ждать, когда хакнут сервер компании и после этого закрывать обнаруженную дырку, но обычно так не поступают. Обычно руководствуются определенной политикой безопасности.
                Магазин, который хочет устанавливать собственный уровень безопасности, в данном случае, такую возможность имеет. И для этого имеет специалиста. А как же иначе. Магазин, которому это не интересно, пользуется той политикой безопасности, которая установлена для всех. [/B]

                Комментарий


                • #9
                  Таким образом, данный фильтр не может быть установлен на все без исключения виртуальные магазины даже теоретически.

                  Физически антифродовый фильтр находиться на машине платежной системы. Любой магазин может им пользоваться, если ему это нужно. Никаких дополнительных программ устанавливать не нужно. Фильтр действует на все магазины.

                  Комментарий


                  • #10
                    На данный момент, в сети интернет существуют три варианта приёма платежей на сайтах, продающих товары (услуги) через сеть интернет:

                    1. Приём платежей через платёжную систему (интернет-пеймент гейтвей / internet payment gateway / - ИПГ), который обеспечивает приём транзакции и её транспорт к процессинговому центру (ПЦ) банка-эквайера (БЭ), в котором обслуживается фирма, владеющая сайтом. В этом случае эквайринговой точкой для международных платёжных систем (МПС) является сам сайт, продающий товары (услуги), а значит возможные санкции МПС налагаются именно на фирму-владельца сайта. То есть риски перед МПС здесь несёт непосредственно продавец товаров (услуг).
                    2. Приём платежей через биллинговую компанию (биллинг), которая также, как платёжная система, берёт на себя функцию транспорта транзакции до ПЦ БЭ, но при этом выполняет ещё ряд функций - мониторинг рисков, управление ими, организацию доступа к детальной статистике по транзакциям и обеспечение расчётов с владельцами сайтов, подключённых к биллингу. В данном случае эквайринговой точкой, видимой МПС, является сам биллинг, а все его клиенты (сайты, подключённые к биллингу) не видны МПС. Соответственно, возможные санкции со стороны МПС применяются в данном случае не непосредственно к продавцу товаров (услуг), а к биллингу как к эквайринговой точке - то есть к организации, не продающей что-либо, а обслуживающей платежи.
                    3. Приём платежей непосредственно сайтом, который сам обеспечивает транспорт транзакции до ПЦ БЭ - т.е. прямое подключение торговца к ПЦ БЭ. Это нечасто встречающийся вариант подключения и риски здесь распределяются точно также как и в п. 1.

                    Во втором варианте магазин не увидит самой транзакции.
                    С уважением,
                    Алексей

                    Комментарий


                    • #11
                      Alex_cards
                      для МПС эквайером является банк, и только банк. Все точки - ретейлеры, и их партии - из другой оперы. Поэтому и пенальти - банку, и только ему.
                      Yak

                      Комментарий


                      • #12
                        2 Yak

                        Согласен.

                        Но этой ссылкой я хотел подчеркнуть другое: не всегда виртуальный магазин может видеть траназкцию.

                        С уважением,
                        Алексей
                        С уважением,
                        Алексей

                        Комментарий


                        • #13
                          не всегда виртуальный магазин может видеть траназкцию

                          Alex_cards

                          Вроде бы упор в безопасности для картхолдера всегда делался на то, что магазин не видит параметры карты и соответственно система магазина не может быть источником информации для мошенников. Таким образом получается не "не всегда", а никогда.

                          Так как же магазину строить собственную политику безопасности, если он не видит параметров принимаемых карт? Гадание получается на ромашке - кинет, не кинет, кинет, не кинет, .... кинет.

                          Комментарий


                          • #14
                            Alex_cards
                            Во втором случае не увидит, но мы обсуждаем сервис, предоставляемый ИПГ своим клиентам. А клиент в данном случае - это биллинг.
                            Zepp
                            Ну а если Вы увидите номер карты, это спасет от кидания?
                            А политику строить можно по разному: сумму транзакции можно ограничивать, частоту авторизации и пр. Масса разных возможностей. Здесь главное, что они есть и ими можно пользоваться, если нужно.

                            Комментарий


                            • #15
                              Ill

                              В договоре по эквайрингу обычно пишут примерно так:

                              "По настоящему Договору Предприятие берет на себя ОБЯЗАТЕЛЬСТВО при реализации товаров (работ, услуг) через интернет принимать в оплату в качестве платежного средства ДЕЙСТВИТЕЛЬНЫЕ пластиковые карты платежных систем ... "

                              Тонкость в том, что Предприятие к сожалению не может определить ДЕЙСТВИТЕЛЬНАЯ ли карта предъявлена, так как даже не знает параметров карты, но далее по тексту договора идут положения суть которых кратко передается так - приняли неДЕЙСТВИТЕЛЬНУЮ карту ничего не получите и еще заплатите штраф. Предприятие в обсуждаемой ситуации полностью (хотел написать может, но ..) должно (вынуждено) доверять ИПГ определение ДЕЙСТВИТЕЛЬНОСТИ карты. Если бы было написано, что "По ... систем, ДЕЙСТВИТЕЛЬНОСТЬ которых проверена ИПГ", то это конечно более соответствовало бы интересам и ожиданиям Предприятия.

                              Я не прав?

                              Комментарий


                              • #16
                                Или я чего не понял.

                                rost7

                                Не поняли. Хорошо бы, чтобы функцию фильтрации фрода ответственно брал на себя ИПГ или эквайер (за то и комиссию повышенную берет ), а магазин принимал бы только те карты, которые ИПГ (эквайер) ему разрешил .

                                Комментарий


                                • #17
                                  Zepp
                                  Вы правы в том, что было бы хорошо иметь организацию, которая бы брала на себя финансовые риски и получала за это комиссию. Но согласитесь, что это организация не должна называться ИПГ. По большому счету функция ИПГ - предоставить доступ к процессингу банка. По боьшому счету, ИПГ - это сервис для банка, который избавляет его от необходимости подключать мерчантов непосредственно к себе, и тем самым заниматься непрофильной телекоммуникационной деятельностью. Обратите внимание, что договор Вы с банком заключаете на интернет-эквайринг, а не с ИПГ. И функции мониторинга транзакций, они для ИПГ как бы "добровольные", как это не странно звучит. Банк-эквайер занимается мониторингом транзакций, у мерчанта договроные отношения с банком, а ИПГ представляет доступ. Вот такая диаметральная схема по отношению к Вашей. Но жизнь состоит из полутонов. Поэтому нет пока схемы, предложенной Вами, хотя хорошая, я еще раз повторяю, и крайняя схема, нарисованная мной, тоже не жизнеспособна. Потому я и утверждаю, что предоставление возможности ТСП еще и самим строить свою политику безопасности (дополнительно к той, что реализована в ИПГ и в банке) это хорошо. Тем более, что в данном случае, Вы не должны, а можете.

                                  Комментарий


                                  • #18
                                    Вы правы в том, что было бы хорошо иметь организацию, которая бы брала на себя финансовые риски и получала за это комиссию. Но согласитесь, что это организация не должна называться ИПГ. По большому счету функция ИПГ - предоставить доступ к процессингу банка.

                                    Ill

                                    Как говорил классик "Кто сшил костюм?". Вопрос к сожалению остался , причем не применительно к RBS, а в принципе.

                                    Комментарий


                                    • #19
                                      Я полагаю, все согласятся, что рынок интернет-эквайринга в России только начинается. Ниша для организаций, страхующих финансовые риски по интернет-транзакциям, к примеру, фактически свободна. Я пишу "организаций", потому что, если будет одна - получим еще одного монополиста. Не распространена и схема работы с CyberSource, к примеру - дорого. Минимизируя риски, различными способами, мы снижаем и рентабельность услуги. Хотя, конечно, зависимость здесь сложная, но можно и антифродовый фильтр настроить таким образом, что никого кроме личных друзей он пропускать не будет. Тем не менее, с развитием рынка будет развиваться и его инфраструктура. Другое дело, что рынок очень динамичен, и по какому пути он будет развиваться, не всегда можно предугадать. Есть SET - абсолютно безопасный платеж в интернете, есть CyberSource, есть ниша для финансовых организаций, страхующих риски. Давайте вспомним, что и повсеместное использование смарт карт на подходе, а это уже другие подходы к безопасности платежей. Поэтому, есть проблемы, конечно, но есть и пути решения проблем. По-моему, все развивается вполне естественно.

                                      Комментарий


                                      • #20
                                        Zepp
                                        Тонкость в том, что Предприятие к сожалению не может определить ДЕЙСТВИТЕЛЬНАЯ ли карта предъявлена, так как даже не знает параметров карты, но далее по тексту договора идут положения суть которых кратко передается так - приняли неДЕЙСТВИТЕЛЬНУЮ карту ничего не получите и еще заплатите штраф.

                                        Вот именно.

                                        Ситуация поменяется тогда, когда на рынок выйдет ИПГ, который рассматривает клиентов не как абстрактных "юриков", а как своих партнёров, от которых зависит прибыль самого ИПГ. Тогда и другим придётся либо меняться, либо уходить с рынка.

                                        Ill

                                        Разделение ИПГ и банка выглядит в России условно. На самом деле все существующие ИПГ работают с банками не только чтобы освободить их от "непрофильной телекоммуникационной деятельности", а потому, что банки надеются, что ИПГ помогут им в отсечении фрода. Поэтому именно ИПГ должно заниматься отсечением фрода. И это будет сервис как для клиента-торговца, так и для банка.

                                        Комментарий


                                        • #21
                                          Ситуация поменяется тогда, когда на рынок выйдет ИПГ, который рассматривает клиентов не как абстрактных "юриков", а как своих партнёров, от которых зависит прибыль самого ИПГ. Тогда и другим придётся либо меняться, либо уходить с рынка.
                                          Т.е. вы считаете что надо доверять всем клиентам ИПГ данные о карте?
                                          Я думаю не стоит,можно сделать отдельный вариант - договор о неразглашении информации,обязательное наличие СВОЕГо сервера,а не хостинга (всякие администраторы не смогут ничего смотреть)
                                          Тем более многие торговцы,действующие через ИПГ могут оказаться потенциально опасными для их покупателей - они могут просто не знать всех принципов безопасности и важности данных.
                                          Разделение ИПГ и банка выглядит в России условно. На самом деле все существующие ИПГ работают с банками не только чтобы освободить их от "непрофильной телекоммуникационной деятельности", а потому, что банки надеются, что ИПГ помогут им в отсечении фрода. Поэтому именно ИПГ должно заниматься отсечением фрода. И это будет сервис как для клиента-торговца, так и для банка.
                                          Здесь полностью с вами согласен.

                                          Комментарий


                                          • #22
                                            Ситуация поменяется тогда, когда на рынок выйдет ИПГ, который рассматривает клиентов не как абстрактных "юриков", а как своих партнёров, от которых зависит прибыль самого ИПГ.
                                            Прибыль ИПГ зависит от клиентов - это понятно, а вот под партнерством Вы что имеете ввиду? Порой, когда слышишь слово "партнер", Леню Голубкова вспоминаешь.
                                            а потому, что банки надеются, что ИПГ помогут им в отсечении фрода.
                                            Я бы не рассматривал российские банки, в роли ожидающих, когда их ИПГ от фрода защитит. Интересно как они клиенту возможные неприятности объяснят: "Нас ИПГ от фрода не защитил". Я в такой банк не пойду. У банков есть все возможности иметь мощные собственные антифродовые одразделения, и они их имеют, во всяком случае некоторые.
                                            ИПГ должно заниматься отсечением фрода
                                            Я бы сказал, что это правильно, когда ИПГ занимается отсечением фрода. Но здесь никто обратного и не утверждал. А потому дискуссию было бы интересно перевести в плоскость - какими методами ИПГ должно бороться с фродом. Это действительно большая интересная тема.

                                            Комментарий


                                            • #23
                                              GBS
                                              Т.е. вы считаете что надо доверять всем клиентам ИПГ данные о карте?
                                              Я такого не говорил. Принимать транзакцию должен ИПГ. Но он также должен передавать мерчанту всю информацию, ассоциированную с транзакцией - всё, что интересует мерчанта - от номера карты (возможно, без 4-х цифр в серединке, хотя это и спорно) до того, включён ли у кардхолдера JavaScript и какой был пинг до его ИП во время совершения транзакции (если это мерчанта интересует и может, по его мнению, помочь ему уменьшить количество фрода у себя).

                                              Ill
                                              У банков есть все возможности иметь мощные собственные антифродовые одразделения, и они их имеют, во всяком случае некоторые.
                                              я продолжу - "или говорят, что у них мощные антифродовые подразделения" - так вернее будет. Лично я мощность определяю не по количеству сотрудников, а по эффективности.
                                              А потому дискуссию было бы интересно перевести в плоскость - какими методами ИПГ должно бороться с фродом. Это действительно большая интересная тема.
                                              Задавайте вопросы.

                                              Комментарий


                                              • #24
                                                2eFinansist

                                                Здесь уже обсуждался вопрос о распределении ролей - кто должен контролировать мошенника - ИПГ или магазин. Магазин может настроить фильтры ИПГ по своему усмотрению (например, запретить авторизацию по стране-эмитенту или исключть анонимный прокси). Но на самом деле было бы эффективнее менять эти фильтры динамически - эта возможность должны быть у магазина. Так или иначе он строит свои взаимоотношения с клиентами, и со всеми по-разному, собирает о них информацию - каждому клиенту свой антифродовый фильтр! Простейший пример - дневные лимиты по карте, лимиты на одну операцию - если этот клиент у меня уже много покупал, то я ему верю.
                                                У каждого магазина - свои особенности построения доверительных отношений с клиентами.
                                                Особенно это актуально, если речь идет о e-commerce системах, где средние
                                                объемы транзакций заранее не известны, не о магазинах.

                                                Также мне кажется важным для магазина, чтобы ИПГ предоставлял возможность "связать" клиента магазина, сделавшего успешный платеж и его карту. Я не говорю о том, чтобы сообщать номер карты магазину, максимум 4 послдение цифры, хотя и это не обязательно. Магазину надо видеть, платил ли его клиент этой картой и когда, и как все прошло. У АССИСТА, например, я этого не нашел - фильтры настраиваются только для магазина в целом.

                                                Комментарий


                                                • #25
                                                  vologda
                                                  Ещё раз сформулирую своё мнение:

                                                  Контролем за уровнем фрода должен заниматься МАГАЗИН, используя при этом профессионально сделанную и эффективно (!) работающую антифродовую систему ИПГ. Соответственно ИПГ ДОЛЖЕН предоставлять магазину всю ту дополнительную информацию о транзакции, которую магазин захочет получить. тогда можно будет и требовать с магазина за то, что у него чарджбеков много. Для такой схемы надо, естественн, чтобы магазин мог настраивать антифродовые фильтры ИПГ максимально детализированно - так, как лучше для его бизнеса.

                                                  Детализация "фильтров" для каждого клиента - возможно, и стоит, но у меня есть сомнения, что нужно. Лучше уж посадить дополнительного сотрудника, который мог бы вручную дать одобрение или отказ для того или иного клиента.

                                                  Комментарий


                                                  • #26
                                                    Ill
                                                    Прибыль ИПГ зависит от клиентов - это понятно, а вот под партнерством Вы что имеете ввиду? Порой, когда слышишь слово "партнер", Леню Голубкова вспоминаешь.

                                                    Под словом "партнёрство" я понимаю то, что ИПГ должен действовать более гибко в интересах своих клиентов. Нужен, например, такой параметр клиенту для оценки риска транзакции - пожалуйста. Хочет магазин страницу подписки для своего сайта на ИПГ в своём дизайне оформить - пожалуйста. И т.д.

                                                    Комментарий


                                                    • #27
                                                      Контролем за уровнем фрода должен заниматься МАГАЗИН, используя при этом профессионально сделанную и эффективно (!) работающую антифродовую систему ИПГ. Соответственно ИПГ ДОЛЖЕН предоставлять магазину всю ту дополнительную информацию о транзакции, которую магазин захочет получить. тогда можно будет и требовать с магазина за то, что у него чарджбеков много. Для такой схемы надо, естественн, чтобы магазин мог настраивать антифродовые фильтры ИПГ максимально детализированно - так, как лучше для его бизнеса.

                                                      eFinansist

                                                      Где бы еще найти такой ИПГ?

                                                      Комментарий


                                                      • #28
                                                        Интересно эволюционирует дискуссия от:
                                                        Может кто-нибудь популярно объяснить, зачем это нужно магазину? В моем понимании это вопрос эквайера.
                                                        и до:
                                                        Контролем за уровнем фрода должен заниматься МАГАЗИН, используя при этом профессионально сделанную и эффективно (!) работающую антифродовую систему ИПГ.
                                                        Для такой схемы надо, естественн, чтобы магазин мог настраивать антифродовые фильтры ИПГ максимально детализированно - так, как лучше для его бизнеса.
                                                        Господа, а кто-нибудь вообще детализированный фильтр RBS смотрел? Там есть многое из того, что вы предлагаете.
                                                        Где бы еще найти такой ИПГ?
                                                        Во-первых, точно определить какой нужен.
                                                        Во-вторых, определить чего не хватает в существующих.
                                                        В третьих, сделать.
                                                        Эти пункты вполне соответсвуют определению, данному eFinansist, термину "партнерство"

                                                        Комментарий


                                                        • #29
                                                          Ill
                                                          Во-первых, точно определить какой нужен.
                                                          Во-вторых, определить чего не хватает в существующих.
                                                          В третьих, сделать.
                                                          Эти пункты вполне соответсвуют определению, данному eFinansist, термину "партнерство"


                                                          Совершенно верно. Магазинам тоже надо общаться с ИПГ и высказывать свои просьбы - иначе ничего не будет. Откуда же ИПГ узнает, что вам нужно?

                                                          Комментарий


                                                          • #30
                                                            Во-первых, точно определить какой нужен.
                                                            Во-вторых, определить чего не хватает в существующих.


                                                            Нужен такой ИПГ, который обеспечит отсутствие претензий по возврату средств или хотя бы предсказуемый низкий уровень таковых (порядка 1-2%). Именно этого и не хватает в существующих.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X