Lead Project Manager LeoGaming Денис Рыков о качественной антифрод-политике и динамической маршрутизации платежей
В конце года состоялась одна из крупнейших оффлайн-конференций – FinRetail 2020. Среди спикеров был Lead Project Manager fintech-компании LeoGaming Денис Рыков, подробно рассказавший о технических особенностях работы их процессинга. Редакция UA.NEWS пообщалась с Денисом и узнала о том, как работают стабильные системы, сложно ли получить PCI DSS и какую главную задачу бизнеса решает их отдел.
Вы курируете развитие платежного процессинга LeoGaming, а в Вашем портфолио – участие в серьезных проектах для аэропорта и пограничной службы. Вам пришлось узнавать специфику транзакционного бизнеса с нуля? Что общего по технической части и чем сферы отличаются?
Вышеперечисленная деятельность напрямую связана с обработкой достаточно больших массивов данных, поэтому под общий знаменатель однозначно можно подвести схожие подходы к отказоустойчивости и безопасности.
Стабильность процессинга состоит из совокупности факторов: безопасности, аналитики, работы техподдержки, финмониторинга, а также отказоустойчивости. Только когда все составляющие работают в синергии, система будет работать по-настоящему стабильно.
Lead Project Manager LeoGaming Что же касается отличий, думаю, стоит выделить методологию проектирования. В то время как бюрократические реалии «пограничных» проектов готовы к детальной предиктивной модели, менеджеры в сфере e-com не могут себе позволить промедление, так как возможное платежное решение окажется на вооружении конкурента.
МПС LEO регулярно отчитывается о росте транзакций, а значит и нагрузка на процессинг растет. В чем главная заслуга стабильной работы?
Денис Рыков: Как я и рассказывал на FinRetail 2020, универсального «рецепта успеха» не существует, ведь ваша задача – поддерживать стабильность системы. Стабильность системы состоит из совокупности факторов: безопасности, аналитики, работы техподдержки, финмониторинга, а также отказоустойчивости. Только когда все составляющие работают в синергии, система будет работать по-настоящему стабильно.
Да, со стороны может звучать, будто это очень хрупкая структура, но лишь потому, что обычно не видно, сколько проделанной работы и «страховочных путей» есть на каждом из этих пяти этапов.
Во время аудита на соответствие PCI DSS аудитор «живет» с вами в офисе и тестирует вашу техническую инфраструктуру. Даже если вы не прошли его сразу, это полезнейший опыт для молодой техкоманды.
Lead Project Manager LeoGaming Чтобы начать работать с финансовыми операциями, каждый из участников процесса – будь то международная платежная система, банк-эмитент и т.д. – должны быть уверены, что платежный сервис-провайдер соответствует их стандартам в полной мере.
Говоря о стандартах – насколько сложно получить сертификат PCI DSS?
Денис Рыков: Если вы соответствуете стандартам – тогда несложно. Привести свою работу под эти стандарты – уже другой вопрос. Общая процедура состоит из 12 требований (всего их 288)по обеспечению безопасности данных держателей платежных карт, передаваемых, хранящихся и обрабатываемых со стороны информационных инфраструктур организаций. Они есть в публичном доступе, и пересказывать их не имеет смысла. Гораздо интереснее то, что за ними стоит. Конкретнее это:
- Поддержка сетевой безопасности;
- Защита данных;
- Управление уязвимостями;
- Контроль доступа;
- Мониторинг сетей;
- Управление информационной безопасностью.
Фактически, во время прохождения сертификации аудитор компании, которая выдает сертификат, «живет» с вами в офисе и тестирует вашу техническую инфраструктуру. Даже если вы не прошли его сразу, это полезнейший опыт для молодой техкоманды, у которой могут быть не отлажены некоторые процессы на должном уровне.
Качественный антифрод обязан выявлять подозрительные транзакции как можно раньше – пока вред не был нанесен. Для этого нужен сбор данных. После него идет аналитика. Далее – противодействие.
Lead Project Manager LeoGaming Поверьте – после такого аудита они будут отлажены в любом случае: будь то позитивный результат или же работа над ошибками после первичного отказа.
LeoGaming нередко заявляет о своей антифрод-системе как серьезном преимуществе. Что стоит за этим словом?
Денис Рыков: В первую очередь – данные. Потом еще немного данных. Много данных в этом кейсе не бывает. Ведь когда говорят об антифрод-системе, сразу думают о противодействии, борьбе. Это лишь «красивая» часть правды, основанная на кино и сериалах о хакерах. Реальность показывает, что качественный антифрод обязан выявлять подозрительные транзакции как можно раньше – пока вред не был нанесен. Для этого нужен сбор данных.
После него идет аналитика. Мы анализируем трафик по ряду параметров, и на каждом из них способны отсеять подозрительные операции. Это уже третий пункт – противодействие. Наша задача – постоянно улучшать этот фильтр, чтобы через него – в идеале – не проходило ни одной нежелательной транзакции.
Мы оцениваем платежный трафик для конкретного мерчанта. Это позволяет нам иметь представление о клиентах наших партнеров и понимать, если что-то в привычной «картине мира» идет не так.
Lead Project Manager LeoGaming Самые подозрительные транзакции выделяются отдельно, а потом их разбирают люди, а не алгоритм – чтобы улучшить последний. Специалисты оценивают не все операции, лишь те, которые требуют внимания, и дают свои рекомендации по ним. Все это вместе поступает торговцу, и он на своей стороне проводит исследования: связывается с пользователем, смотрит внутрипроектную активность и принимает решение.
Потом мы получаем информацию, было ли это мошенничество или нет. Мы обрабатываем все полученные результаты и выносим решение собственной эффективности, и если оно нас не устраивает, тогда думаем, что можно было бы поменять и улучшить.
А как Вы оцениваете платежный трафик? Какие есть критерии?
Денис Рыков: Да, давайте конкретнее. В процессинге LeoGaming существуют такие метрики оценки трафика:
- Страна, из которой совершается платеж. Самый очевидный и понятный из всех;
- Страна банка, выпустившего карту;
- Размер платежа. К примеру, понятие среднего чека, резкие отклонения от которого могут вызывать подозрения, это всегда учитывается и т.д.;
- Количество платежей с карты. Постоянно повторяющиеся суммы, слишком частые оплаты и прочее;
- Платежная история банковской карты. Например, непривычные категории платежей (mcc коды) в больших объемах;
- Профиль среднестатистического плательщика торговца.
Это то, что мы формируем под конкретного мерчанта, в основе которого лежат упомянутые выше пункты. Это позволяет нам иметь представление о клиентах наших партнеров и понимать, если что-то в привычной «картине мира» идет не так.
На FinRetail 2020 Вы рассказывали о внутреннем решении LeoGaming – модуле динамической маршрутизации платежей. Что это?
Денис Рыков: Фактически, это наш высокотехнологичный программный комплекс, который позволяет решить ключевую задачу для бизнеса – снизить издержки и увеличить доходность. Он выполняет функции маршрутизатора транзакций и предоставляет возможность проводить платежи за счет различных источников средств и платежных инструментов с использованием платежных шлюзов.
Модуль динамически вычисляет оптимальный маршрут для каждой транзакции на основании доступности канала, повышая конверсию платежа. Думаю, очевидно, что конверсия – наш ключевой параметр.
Также модуль повышает трафик за счёт стабильности потоков на самых популярных сервисах, определяет оптимальное соотношение, по которому платежи распределяются между доступными каналами и многое другое.
Какие планы для Вас наиболее приоритетны в 2021 году?
Денис Рыков: Кроме постоянной работы с конверсией в связи с усилившимся спросом на онлайн-оплаты во времена пандемии – работать над качественной работой Google Pay и Apple Pay. Оплата со смартфона за товары и услуги без них крайне низкоконверсионная – в отличие от десктопа, где ввод карточных данных – вполне привычное явление. Клиентский опыт со смартфоном требует простоты и бесшовности – и мы обязаны соответствовать этим требованиям.