Lead Project Manager LeoGaming Денис Риков про якісну антифрод-політику та динамічну маршрутизацію платежів

В кінці року відбулася одна з найбільших оффлайн-конференцій – FinRetail 2020. Серед спікерів був Lead Project Manager fintech-компанії LeoGaming Денис Риков, який детально розповів про технічні особливості роботи їх процесингу. Редакція UA.NEWS поспілкувалася з Денисом і дізналася про те, як працюють стабільні системи, чи складно отримати PCI DSS та яке головне завдання бізнесу вирішує їх відділ.

Ви займаєтеся розвитком платіжного процесингу LeoGaming, а у Вашому портфоліо – участь в серйозних проектах для аеропорту та прикордонної служби. Вам довелося пізнавати специфіку транзакційного бізнесу з нуля? Що спільного щодо технічної частини і чим сфери відрізняються?

Денис Риков: Поняття транзакційного бізнесу відкрилося для мене під час роботи в термінальній мережі «СМПУ». Апаратна і програмна підтримка ПТКС, взаємодія з процесинговим центром, багатосторонній кліринг, підключення контрагентів – все це сприяло формуванню мого бачення електронної комерції.

Перерахована вище діяльність безпосередньо пов'язана з обробкою досить великих масивів даних, тому під спільний знаменник однозначно можна підвести схожі підходи до відмовостійкості та безпеки.

Стабільність процесингу складається із сукупності факторів: безпеки, аналітики, роботи техпідтримки, фінмоніторингу, а також відмовостійкості. Тільки коли всі складові працюють у синергії, система працюватиме по-справжньому стабільно.

Що ж стосується відмінностей, думаю, варто виділити методологію проектування. У той час як бюрократичні реалії «прикордонних» проектів готові до детальної предиктивної моделі, менеджери у сфері e-com не можуть собі дозволити зволікання, так як можливе платіжне рішення виявиться на озброєнні конкурента.

МПС LEO регулярно звітує про зростання транзакцій, а значить і навантаження на процесинг зростає. У чому головна заслуга стабільної роботи?

Денис Риков: Як я і розповідав на FinRetail 2020 року, універсального «рецепту успіху» не існує, адже ваша задача – підтримувати стабільність системи. Стабільність системи складається з сукупності факторів: безпеки, аналітики, роботи техпідтримки, фінмоніторингу, а також відмовостійкості. Тільки коли всі складові працюють у синергії, система працюватиме по-справжньому стабільно.

Так, зі сторони може звучати, ніби це дуже тендітна структура, але лише тому, що зазвичай не видно, скільки виконаної роботи і «страхувальних шляхів» є на кожному з цих п'яти етапів.

Під час аудиту на відповідність PCI DSS аудитор «живе» з вами в офісі і тестує вашу технічну інфраструктуру. Навіть якщо ви не пройшли його відразу, це корисний досвід для молодої техкоманди.

Щоб почати працювати з фінансовими операціями, кожен з учасників процесу – будь то міжнародна платіжна система, банк-емітент і т.д. – повинні бути впевнені, що платіжний сервіс-провайдер відповідає їх стандартам повною мірою.



Говорячи про стандарти – наскільки складно отримати сертифікат PCI DSS?

Денис Риков: Якщо ви відповідаєте стандартам – тоді нескладно. Привести свою роботу під ці стандарти – вже інше питання. Загальна процедура складається з 12 вимог (усього їх 288) щодо забезпечення безпеки даних власників платіжних карт, що передаються, зберігаються і обробляються з боку інформаційних інфраструктур організацій. Вони є в публічному доступі, і переказувати їх не має сенсу. Набагато цікавіше те, що за ними стоїть. Конкретніше це:

• Підтримка мережевої безпеки;


• Захист даних;


• Управління вразливістю;


• Контроль доступу;


• Моніторинг мереж;


• Управління інформаційною безпекою.

Фактично, під час проходження сертифікації аудитор компанії, яка видає сертифікат, «живе» з вами в офісі і тестує вашу технічну інфраструктуру. Навіть якщо ви не пройшли його відразу, це корисний досвід для молодої техкоманди, у якій можуть бути не налагоджені деякі процеси на належному рівні.

Якісний антифрод зобов'язаний виявляти підозрілі транзакції якомога раніше – поки шкоди не було завдано. Для цього потрібен збір даних. Після нього йде аналітика. Далі – протидія.

Повірте – після такого аудиту вони будуть налагоджені в будь-якому випадку: будь то позитивний результат або ж робота над помилками після первинної відмови.

LeoGaming нерідко заявляє про свою антифрод-систему як серйозну перевагу. Що стоїть за цим словом?

Денис Риков: В першу чергу – дані. Потім ще трохи даних. Багато даних в цьому кейсі не буває. Адже коли говорять про антифрод-систему, відразу думають про протидію, боротьбу. Це лише «красива» частина правди, заснована на кіно і серіалах про хакерів. Реальність показує, що якісний антифрод зобов'язаний виявляти підозрілі транзакції якомога раніше – поки шкоди не було завдано.

Для цього потрібен збір даних. Після нього йде аналітика. Ми аналізуємо трафік по ряду параметрів, і на кожному з них здатні відсіяти підозрілі операції. Це вже третій пункт – протидія. Наше завдання – постійно покращувати цей фільтр, щоб через нього – в ідеалі – не минало жодної небажаної транзакції.

Ми оцінюємо платіжний трафік для конкретного мерчанта. Це дозволяє нам мати уявлення про клієнтів наших партнерів і розуміти, якщо щось у звичній «картині світу» йде не так.

Найпідозріліші транзакції виділяються окремо, а потім їх розбирають люди, а не алгоритм – щоб поліпшити останній. Фахівці оцінюють не всі операції, лише ті, які вимагають уваги, і дають свої рекомендації по них. Все це разом надходить торговцю, і він на своєму боці проводить дослідження: зв'язується з користувачем, дивиться внутріпроектну активність і приймає рішення.

Потім ми отримуємо інформацію, чи було це шахрайство чи ні. Ми обробляємо всі отримані результати і виносимо рішення власній ефективності, і якщо воно нас не влаштовує, тоді думаємо, що можна було б поміняти і поліпшити.



А як Ви оцінюєте платіжний трафік? Які є критерії?

Денис Риков: Так, давайте конкретніше. У процессингу LeoGaming існують такі метрики оцінки трафіку:

• Країна, з якої здійснюється платіж. Найбільш очевидний і зрозумілий з усіх;


• Країна банку, що випустив карту;


• Розмір платежу. Наприклад, поняття середнього чека, різкі відхилення від якого можуть викликати підозри, це завжди враховується і т.д .;


• Кількість платежів з карти. Постійно повторювані суми, занадто часті оплати та інше;


• Платіжна історія банківської карти. Наприклад, незвичні категорії платежів (mcc коди) у великих обсягах;


• Профіль середньостатистичного платника торговця.

Це те, що ми формуємо під конкретного мерчанта, в основі якого лежать згадані вище пункти. Це дозволяє нам мати уявлення про клієнтів наших партнерів і розуміти, якщо щось у звичній «картині світу» йде не так.

На FinRetail 2020 Ви розповідали про внутрішнє рішення LeoGaming – модуль динамічної маршрутизації платежів. Що це?

Денис Риков: Фактично, це наш високотехнологічний програмний комплекс, який дозволяє вирішити ключове завдання для бізнесу – знизити витрати і збільшити прибутковість. Він виконує функції маршрутизатора транзакцій і надає можливість проводити платежі за рахунок різних джерел коштів і платіжних інструментів з використанням платіжних шлюзів.

Модуль динамічно обчислює оптимальний маршрут для кожної транзакції на підставі доступності каналу, підвищуючи конверсію платежу. Думаю, очевидно, що конверсія – наш ключовий параметр.

Також модуль підвищує трафік за рахунок стабільності потоків на найпопулярніших сервісах, визначає оптимальне співвідношення, за яким платежі розподіляються між доступними каналами і багато іншого.

Які плани для Вас найбільш пріоритетні у 2021 році?

Денис Риков: Крім постійної роботи з конверсією у зв'язку з дедалі сильнішим попитом на онлайн-оплати за часів пандемії – працювати над якісною роботою Google Pay і Apple Pay. Оплата зі смартфона за товари і послуги без них вкрай низькоконверсійна – на відміну від десктопу, де введення карткових даних – цілком звичне явище. Клієнтський досвід зі смартфоном вимагає простоти і безшовності – і ми зобов'язані відповідати цим вимогам.