Работа с рисками

Ограничение: Это материал об интерфейсе Dashboard. Информация о подключении этого интерфейса для тех, кто использует Old Dashboard, представлена в пункте Порядок подключения.

Введение

Развитию любых видов коммерции традиционно сопутствует и развитие разных видов финансового мошенничества. Электронная коммерция — не исключение. Одной из наиболее распространённых форм мошенничества в этой сфере является компрометация данных платёжной карты и попытка выдать себя за её держателя. При этом, конечно, развиваются и другие формы мошеннических действий, как с картами, так и с другими платёжными инструментами.

Для борьбы с мошенничеством, как правило, применяется комплекс мер со стороны платёжных систем и других сторон, участвующих в проведении платежей: эмитентов, провайдеров и мерчантов. Прежде всего, за счёт таких мер обеспечиваются проверки двух видов:

  • Проверка подлинности пользователей и их платёжных инструментов, для чего применяются протоколы аутентификации 3‑D Secure, проверка адреса пользователя (Address Verification Service; AVS) и прочие подобные решения.
  • Проверка допустимости платежей с учётом их параметров, для чего применяются проверки параметров на соответствие так называемым «белым» и «чёрным» спискам и различным правилам, а также разные виды анализа и оценки рисков.

При работе с платёжной платформой ECommPay можно в полной мере пользоваться проверками обоих этих видов и минимизировать риски проведения мошеннических операций. Для этого следует:

  • Настроить и поддерживать со стороны веб-сервиса эффективную работу с решениями для проверки подлинности пользователей. Так, например, при работе с протоколом аутентификации 3‑D Secure 2 можно указывать предпочтения мерчанта по использованию варианта аутентификации challenge flow для каждого проводимого платежа, а при работе с AVS можно передавать данные об адресах в исходных запросах и обеспечивать возможность проверки без дополнительных действий со стороны пользователей. Также стоит учитывать, что при использовании протоколов 3‑D Secure финансовая ответственность за проведение мошеннических платежей возлагается на эмитента (и снимается с остальных сторон, что в том числе обеспечивает отсутствие опротестований с причиной fraud). Грамотное применение таких возможностей помогает обеспечивать на высоком уровне и защиту от мошенничества, и уровень проходимости платежей.

    С вопросами о таких возможностях можно обращаться к курирующему менеджеру и специалистам технической поддержки ECommPay.

  • Настроить и поддерживать правила для проверки платежей — чтобы они применялись наряду с правилами других сторон (ECommPay, платёжных систем и эмитентов) и позволяли эффективно фильтровать платежи. Для этого совместно со специалистами ECommPay определяются специфичные для конкретных проектов ограничения и правила, которые далее применяются на стороне платёжной платформы и могут актуализироваться по мере необходимости. И в дополнение к таким правилам можно использовать собственные «белые» и «чёрные» списки, которые также учитываются в платёжной платформе при проведении платежей.

    С вопросами об этих возможностях можно обращаться к курирующему менеджеру и специалистам ECommPay по работе с рисками.

  • Контролировать выявляемые случаи мошенничества и отказы в проведении платежей и, когда это необходимо, обеспечивать реагирование, а также разбирать особые случаи со специалистами ECommPay и корректировать применяемые настройки. Для этого можно использовать возможности Dashboard и обращаться с вопросами к курирующему менеджеру и специалистам ECommPay.

Интерфейс Dashboard позволяет формировать собственные «белые» и «чёрные» списки, а также отслеживать информацию о попытках и фактах мошенничества, выявленных на стороне ECommPay и платёжных систем. В рамках данного раздела вместе с кратким описанием общего процесса работы с рисками представлена информация о тех процедурах, которые можно выполнять через Dashboard.

Общий процесс

Обзор

Чтобы описать процесс противодействия финансовому мошенничеству, можно выделить несколько его свойств.

Во-первых, этот процесс можно назвать многоуровневым. В нём принимают участие разные стороны, включая мерчантов, провайдеров, платёжные системы и эмитентов, и каждая из этих сторон обеспечивает противодействие на своём уровне: применительно к потоку платежей, который её затрагивает. При этом могут использоваться разные инструменты, некоторые из которых могут быть общими для нескольких сторон (как в случае с аутентификацией 3‑D Secure), а другие — частными, специфичными для каждой из сторон (как в случае с «белыми» и «чёрными» списками). И за счёт последовательного применения таких инструментов обеспечивается многоступенчатая фильтрация операций и достигается действенный уровень общей эффективности.

Во-вторых, для этого процесса характерны как прямые, так и обратные связи между разными уровнями. Так, если для некоторой операции было установлено, что её следует считать мошеннической, уже после того, как её провели, информация об этом доводится до всех причастных сторон и позволяет корректировать работу по противодействию подобным операциям на разных уровнях.

В-третьих, на каждом из уровней этот процесс можно представить как непрерывный цикл с четырьмя стадиями: настройкой, контролем, реагированием и анализом.



Таким образом, процесс противодействия финансовому мошенничеству можно представить как систему связных действий, циклически повторяемых на разных уровнях.

Далее описаны основные стадии этого процесса — настройка, контроль, реагирование и анализ — с фокусировкой на тех аспектах, которые могут быть актуальными в работе мерчантов.

Настройка

Проверка подлинности

Для проверки подлинности пользователей в платформе поддерживаются различные вспомогательные процедуры, такие как аутентификация 3‑D Secure, аутентификация по инициативе мерчанта и проверка адреса (Address Verification Service). Кроме того, для эффективной проверки подлинности могут быть полезны некоторые дополнительные возможности, такие как сбор и передача дополнительных сведений о пользователях.

Как правило, при работе через Gate для поддержки таких процедур и возможностей необходимы доработки на стороне веб-сервиса, в то время как при работе через Payment Page всё выполняется на стороне платёжной платформы и не требует задействования веб-сервиса. Подробную информацию о вспомогательных процедурах можно найти в разделе Gate, а о дополнительных возможностях — в разделах Gate и Payment Page.

В целом для эффективной работы с этими инструментами со стороны мерчанта следует:

  1. Определять возможности и процедуры, которые необходимо поддерживать для конкретных проектов.
  2. Если это необходимо, обеспечивать поддержку целевых возможностей и процедур со стороны веб-сервиса.

С вопросами о комбинировании процедур и возможностей, а также об их подключении и настройке можно обращаться к курирующему менеджеру и сотрудникам технической поддержки ECommPay.

Проверка допустимости

Для проверки допустимости платежей их параметры проверяются в платформе на соответствие различным правилам, которые могут быть общими для всех платежей и частными для платежей отдельных мерчантов и их проектов. Это касается, прежде всего, «белых» и «чёрных» списков, которые могут применяться и со стороны мерчанта, и со стороны ECommPay.

В целом для эффективной работы с этими инструментами со стороны мерчанта следует:

  1. Совместно со специалистами ECommPay определять правила и ограничения, которые должны применяться для конкретных проектов.
  2. Вести свои частные «белые» и «чёрные» списки, которые доступны для просмотра и редактирования в интерфейсе Dashboard и применяются в платформе наряду с остальными правилами.

С вопросами о настройке правил проверки и о работе с «белыми» и «чёрными» списками, в том числе о переносе этих списков из других систем, можно обращаться к курирующему менеджеру и специалистам ECommPay по работе с рисками.

Контроль

Перед выполнением операций в платёжной платформе ECommPay проверяется их допустимость. В рамках такой проверки параметры каждой операции проверяются на соответствие заданным правилам и операция автоматически относится к одной из следующих категорий:

  • Мошенническая — если хотя бы один из параметров операции присутствует в «чёрном» списке или риск в выполнении операции (по совокупности её параметров) оценивается как высокий. В этом случае операция отклоняется и от ECommPay к веб-сервису отправляется итоговое оповещение со статусом операции decline и кодом ошибки (полный список таких кодов ошибок и пояснений к ним представлен в блоке коды RCS).
  • Подозрительная — если по заданным алгоритмам не удаётся однозначно оценить риск в выполнении операции и требуются уточнения. В этом случае операция отправляется на выполнение, а специалисты ECommPay дополнительно анализируют, можно ли считать её благонадёжной или мошеннической, и при необходимости передают информацию для согласований сотрудникам мерчанта. И уже по итогам оценки специалистами могут применяться различные меры, в том числе выполнение возврата и дополнение «чёрного» списка.
  • Благонадёжная — если хотя бы один из параметров операции присутствует в «белом» списке или риск в выполнении операции (по совокупности её параметров) оценивается как несущественный. В этом случае операция отправляется на выполнение.
Ограничение: Важным моментом при таком анализе является приоритет «белых» списков перед «чёрными» и оценками рисков. Так, если для некоторой операции ряд параметров может вызывать подозрения или даже относиться к «чёрным» спискам, но хотя бы один параметр относится к «белому» списку, операция признаётся заведомо благонадёжной. Поэтому работать с «белыми» списками следует максимально предусмотрительно.

После начальной оценки рисков со стороны мерчанта и ECommPay контроль не заканчивается: одобрение операции на стороне ECommPay не исключает признания этой же операции неблагонадёжной со стороны других участников проведения платежа, а одобрение операции всеми участниками не исключает выявления мошенничества постфактум. В таких случаях информация о попытках и фактах мошенничества, выявленных другими участниками, передаётся в ECommPay и далее, специалистами ECommPay, сотрудникам мерчанта. Кроме того, со стороны мерчанта можно контролировать выполнение операций и получать информацию об отклонённых и мошеннических операциях через интерфейс Dashboard (подробнее об этом далее), а в любой нестандартной ситуации можно обращаться через электронную почту к специалистам ECommPay по работе с рисками.

Реагирование

В зависимости от того, как оценивается риск операции при её выполнении, а также от того, признаётся ли операция мошеннической уже после её выполнения, на стороне мерчанта могут быть актуальны те или иные действия. И эффективность таких действий может существенно влиять на успешность борьбы с мошенничеством и ведения бизнеса в целом.

Основными ситуациями для реагирования со стороны мерчанта являются следующие:

  • Операция отклонена как неблагонадёжная на стороне ECommPay. В этом случае рекомендуется уточнить причину отклонения (через разбор программного оповещения или интерфейс Dashboard) и при необходимости отреагировать следующим образом:
    • дополнить «чёрный» список — если операция действительно мошенническая и можно выделить критерий для блокировки последующих подобных операций (например, номер телефона пользователя);
    • дополнить «белый» список — если есть уверенность, что операция благонадёжная, но с нетипичным поведением пользователя, и при этом можно выделить критерий для подтверждения благонадёжности последующих подобных операций;
    • связаться со специалистами ECommPay — если есть вопросы по выполнению операции;
    • повторно инициировать операцию — если это актуально в работе с пользователем и (за счёт обновления «белого» списка или договорённостей со специалистами ECommPay) есть готовность к выполнению операции без её повторного отклонения.
  • Операция признана подозрительной на стороне ECommPay. В этом случае следует проанализировать причину и характер подозрений в мошенничестве и при необходимости связаться с пользователем для уточнения деталей и со специалистами ECommPay для согласования необходимых действий, после чего предпринять эти действия. К таким действиям могут относиться, например, выполнение возвратов и дополнение «белых» и «чёрных» списков.
  • Операция одобрена на стороне ECommPay, но отклонена как неблагонадёжная на стороне другого участника. В этом случае рекомендуется уточнить причину отклонения (через Dashboard или специалистов ECommPay) и при необходимости отреагировать следующим образом:
    • дополнить «чёрный» список — если операция действительно мошенническая и можно выделить критерий для блокировки последующих подобных операций;
    • повторно инициировать операцию — если причина отклонения допускает повторную попытку и есть уверенность в благонадёжности операции и понимание того, что она была отклонена из-за некорректно или неполно указанных данных.
  • Операция выполнена, но признана мошеннической постфактум. В этом случае рекомендуется уточнить критерии, характеризующие операцию как мошенническую (через Dashboard или специалистов ECommPay), проанализировать остальные операции с участием пользователя, инициировавшего мошенническую операцию, по всем проектам мерчанта и при необходимости дополнить «чёрные» списки. В случае, если мошенническая операция была выполнена без использования протокола 3‑D Secure, рекомендуется выполнить возврат средств пользователю, пострадавшему от мошенничества (в том числе для предотвращения опротестований и связанных с ними дополнительных комиссий и репутационного урона).

Кроме того, в любой нестандартной ситуации рекомендуется обращаться к специалистам ECommPay по работе с рисками.

Анализ

Чтобы обеспечивать эффективное проведение платежей — с высоким уровнем конверсии и надёжной защитой от мошенничества — необходимо регулярно анализировать общую ситуацию. Оценивать количество корректных и некорректных отклонений, выявлять дополнительные критерии для использования в «белых» и «чёрных» списках, определять необходимость изменений в работе с процедурами подтверждения подлинности пользователей и правилами оценки допустимости операций на стороне ECommPay и так далее. Все аспекты борьбы с мошенничеством требуют регулярного внимания, в том числе потому что схемы мошенничества в электронной коммерции постоянно развиваются в попытках обойти действующие средства защиты.

С вопросами о том, как можно выстроить анализ эффективности в работе с рисками, можно обращаться к курирующему менеджеру ECommPay.

Контроль мошеннических операций

Dashboard позволяет отслеживать информацию о попытках и фактах мошенничества, выявленных на стороне ECommPay и платёжных систем. Для этого можно использовать реестр платежей в разделе Платежи (с информацией обо всех платежах) и реестр мошеннических операций в разделе Риски (с информацией об операциях, признанных мошенническими на стороне платёжных систем). В работе с этими реестрами доступны типовые инструменты фильтрации (подробнее), а также карточки с детальной информацией об отдельных платежах и относящихся к ним операциях (для открытия карточки достаточно щёлкнуть строку платежа в реестре). Доступ к информации о мошенничестве регулируется отдельным правом и по умолчанию доступен учётным записям, отнесённым к ролям Risks и Merchant Admin.

Рис.: Реестр платежей



Рис.: Реестр мошеннических действий



При работе с реестрами платежей и мошеннических действий следует учитывать ряд особенностей:

  • Информация в реестрах и карточках отображается с задержкой, которая может составлять до нескольких минут, а автоматическое обновление информации не поддерживается.
  • Информация о мошенничестве, выявленном платёжными системами, поступает в платформу два раза в день — до 10:00 и 18:00 UTC+3, поэтому рекомендуется отслеживать эту информацию после указанного времени.
  • В реестре мошеннических действий может отображаться несколько записей об одной и той же операции с разными датами обновления — в случаях, когда информация об этой операции включается в несколько отчётов от платёжных систем.
  • Состав и порядок столбцов в реестрах могут настраиваться, поэтому при наличии соответствующих прав можно оформить реестры в соответствии с индивидуальными предпочтениями.

Для контроля информации об интересующих операциях достаточно следующих действий:

  1. Перейти в нужный раздел: Платежи или Риски.
  2. Найти в реестре записи о требуемых операциях, используя инструменты фильтрации, если это необходимо.

    В реестре платежей операции, отклонённые на стороне ECommPay из-за их высокого риска, можно найти по статусу платежа decline и служебному коду (к таким кодам относятся код 402 и коды блока RCS), а операции, признанные мошенническими другими сторонами, можно найти по индикатору fraud (в том числе с помощью фильтрации ).

  3. Проверить интересующую информацию, непосредственно в реестре или в карточках платежей.

    В реестре мошеннических действий и в блоке Мошеннические платежи, расположенном в детальной карточке платежа, отображается информация о мошенничестве в рамках конкретной операции.



Работа со списками

Общая информация

Для проверки допустимости выполнения операций их параметры проверяются в платформе на соответствие различным правилам, в том числе на соответствие «белым» и «чёрным» спискам. Такие списки могут быть общими для всех мерчантов и частными для отдельных проектов мерчанта.

  • «Белый» список — это перечень критериев, при соответствии любому из которых операция признаётся заведомо благонадёжной.
  • «Чёрный» список — перечень критериев, при соответствии любому из которых операция признаётся заведомо мошеннической.

Важно учитывать, что «белые» списки имеют приоритет перед «чёрными». Так, если для некоторой операции ряд параметров относится к «чёрным» спискам, но хотя бы один параметр относится к «белому», операция признаётся заведомо благонадёжной. Однако соответствие «белому» списку не исключает отклонения операции по результатам таких проверок, как AML (Anti-Money Laundering; на включение имени в санкционные списки) и Compliance (на допустимость выполнения операции из конкретной страны).

В интерфейсе Dashboard поддерживается возможность работать с критериями «белых» и «чёрных» списков по отдельным проектам и совокупности проектов мерчанта. Для этого в разделе Риски выделен подраздел B/W list, который позволяет:

  • просматривать список критериев, с использованием инструментов фильтрации, если это необходимо;
  • добавлять критерии, поштучно или пакетами;
  • удалять критерии, только поштучно.

Вместе с тем добавлять критерии оценки риска можно и из карточек платежей с условиями, что добавлять можно только в «чёрные» списки и по тем операциям, которые признаны мошенническими со стороны платежных систем.

Доступ к возможностям работы с критериями оценки риска регулируется отдельным правом и по умолчанию доступен учётным записям, отнесённым к ролям Risks и Merchant Admin.

Рис.: Подраздел B/W list



Добавление записей через карточку платежа

При работе с карточками платежей можно добавлять в «чёрные» списки критерии отдельных операций — по платежам, для которых со стороны платёжных систем было выявлено мошенничество. Это может быть удобным при разборе отдельных случаев мошенничества, и для такого оперативного добавления следует:

  1. Найти платёж, к которому относится целевая операция — ту, значения параметров которой необходимо добавить в «чёрный» список.

    Для этого можно воспользоваться поиском (подробнее) или реестрами и фильтрами в разделах Платежи и Риски.

  2. Открыть карточку платежа.

    Для этого следует щёлкнуть соответствующую строку в реестре выбранного раздела.

  3. Добавить критерии в «чёрный» список.

    Для этого необходимо:

    1. Щёлкнуть кнопку Чёрный список, расположенную справа на панели Платёж.
    2. Выбрать в открывшемся окне доступные для конкретной операции категории (параметры, значения которых необходимо добавить в «чёрный» список) и идентификаторы проектов (к которым необходимо применить изменения). При необходимости можно добавить комментарий, одинаковый для добавляемых критериев.
    3. Подтвердить добавление критериев в «чёрный» список, щёлкнув кнопку Применить.


  4. Убедиться, что критерии добавлены в «чёрный» список.

    Для этого можно проверить, что записи добавлены в реестр со списком критериев в подразделе B/W List.

Добавление записей через форму

При работе с разделом Риски можно добавлять различные критерии в «белые» и «чёрные» списки через форму в подразделе B/W List. Это может быть удобным при анализе разных случаев и выявлении дополнительных критериев оценки риска, например, в том числе когда необходимо внести записи в «белый» или «чёрный» список без привязки к конкретным операциям. Для такого добавления записей следует:

  1. Открыть форму одиночного добавления критериев.

    Для этого следует открыть раздел Риски, перейти в подраздел B/W List и щёлкнуть кнопку Управление списками слева на панели фильтрации (если кнопка Управление списками не отображается, то необходимо щёлкнуть кнопку справа на панели фильтрации).

  2. Добавить критерии.

    Для этого необходимо выбрать тип списка («белый» или «чёрный»), указать в целевых полях необходимые критерии и щёлкнуть кнопку Применить.

    При некорректном заполнении хотя бы одного из полей отображаются соответствующие уведомления об ошибках. В таком случае следует скорректировать значения (либо отказаться от их ввода) и повторно щёлкнуть кнопку Применить.

  3. Убедиться, что критерии добавлены.

    Об этом свидетельствует появление окна с уведомлением об успешной отправке запросов на добавление. Также можно проверить, что записи добавлены в реестр со списком критериев в подразделе B/W List.

Рис.: Добавление записей в «чёрный» список



Добавление записей через файл

Порядок работы

При работе с дополнительными источниками данных о рисках можно добавлять различные критерии в «белые» и «чёрные» списки через файлы. Это может быть удобным, например, когда необходимо внести записи и в «белые», и в «чёрные» списки без привязки к конкретным операциям и ограничений на количество добавляемых записей. Для такого добавления записей следует:

  1. Подготовить файл заданного формата с информацией о критериях.

    Следует учитывать, что в одном файле можно указывать критерии и для «белых», и для «чёрных» списков. Требования к таким файлам представлены далее, вместе с шаблоном и примером заполнения.

  2. Открыть форму массового добавления критериев.

    Для этого следует:

    1. Открыть раздел Риски и перейти в подраздел B/W List.
    2. Щёлкнуть кнопку Управление списками слева на панели фильтрации (если кнопка Управление списками не отображается, то необходимо щёлкнуть кнопку справа на панели фильтрации).
    3. Перейти на вкладку массового добавления.
  3. Загрузить подготовленный файл со списком записей и добавить их.

    Для загрузки можно перетащить файл в область загрузки или использовать кнопку Выберите файл. После загрузки следует щёлкнуть кнопку Применить, чтобы добавить записи.

    При некорректном заполнении хотя бы одного из полей отображаются уведомления об ошибках. В таком случае необходимо скорректировать файл, загрузить его повторно и повторно щёлкнуть кнопку Применить.

  4. Убедиться в добавлении всех записей.

    Об этом свидетельствует появление окна с уведомлением об успешной отправке запросов на добавление. Также можно проверить, что записи добавлены в реестр со списком критериев в подразделе B/W List.

Рис.: Добавление записей через файл



Требования к файлам

Для подготовки файла можно использовать шаблон, доступный для скачивания в интерфейсе Dashboard на вкладке массового добавления или по ссылке. После загрузки шаблона его можно заполнить в любом редакторе файлов формата CSV, например, MS Excel. При этом каждый файл, используемый для массового добавления критериев должен удовлетворять следующим требованиям:

  • Должен использоваться формат CSV с кодировкой символов UTF-8 без использования маркеров очерёдности (Byte Order Mark, BOM).
  • Размер файла не должен превышать 128 MБ.
  • Первая строка должна содержать названия параметров, при этом названия могут указываться в любой последовательности.
  • Последующие строки должны содержать значения целевых параметров, при этом для необязательных параметров значения могут не указываться.
  • В случае, если названия и значения параметров операций задаются текстовыми строками (не в формате таблицы), в качестве разделителя значений параметров используется «;» (точка с запятой), при этом поля без значений разделяются точкой с запятой так же, как и поля со значениями и допускаются ситуации с идущими подряд двумя и более знаками «;», например:



    В случае подготовки файла в программе Microsoft Excel рекомендуется выполнять проверку в другом редакторе, например в «Блокноте».

Используемые параметры

При заполнении данных о критериях в файлах могут использоваться следующие параметры.

merchant_id
integer, required

Идентификатор мерчанта, полученный от ECommPay при интеграции.
Пример: 644

project_id
integer, required

Идентификатор проекта (полученный от ECommPay при интеграции), к которому относится добавляемый критерий.
При добавлении IP-адреса пользователя может указываться идентификатор любого из проектов мерчанта.
Пример: 1020

list_type
string, required

Тип списка: whitelist или blacklist.
В одном файле можно указывать критерии и для «белых», и для «чёрных» списков.
Пример: whitelist для «белого» списка

category
string, required

Категория критерия:

  • email — адрес электронной почты пользователя,
  • customer_id — идентификатор пользователя,
  • pan — номер карты пользователя,
  • ip — IP-адрес пользователя.


При использовании категории ip критерий добавляется в списки всех проектов мерчанта, вне зависимости от указанного идентификатора проекта.
Пример: email

value
string, required

Значение критерия.
Пример: joe.doe12@sunmail.com для адреса электронной почты

reason
string, optional

Причина добавления в список.
Пример: Пользователь делает возврат на каждую оплату

Удаление записей

Удалять критерии «белых» и «чёрных» списков можно в разделе Риски, при этом стоит учитывать, что удалять их можно только поштучно. Для этого необходимо:

  1. Перейти в подраздел критериев, щёлкнув кнопку B/W Lists в разделе Риски.
  2. Найти в реестре необходимую запись, используя инструменты фильтрации, если это необходимо.
  3. Удалить запись, щёлкнув кнопку в соответствующей строке.
  4. Проверить , что запись удалена из реестра.