Clever Geek Handbook

不正防止。 高速、安価...優れた(パート1)

この記事は、 銀行カード詐欺検出システムを作成する実験の説明です。



記事の最初の部分では、オンラインストアから銀行まで、電子決済市場のすべての参加者にとって詐欺支払い(詐欺)の問題が非常に深刻である理由と、そのようなシステムの開発コストが高すぎることがある主な問題について説明しますeコマース市場の参加者。



2部では、 そのようなシステムに適用される技術的要件と非技術的要件 、および注文による不正防止システムの開発と所有のコストを削減する方法について説明します。



3番目の部分で、サービスのソフトウェアアーキテクチャ 、そのモジュール構造、および主要な実装の詳細について検討します



記事の第4部では 、技術的な観点から最も難しい部分と、システムの最もインテリジェントな部分、つまり不正な支払いを認識するため分析システムについて詳しく説明します。



始めましょう!



インターネットを介して行われるプラスチックカードのトランザクション数の急速な増加は、そのようなシステムの規模の拡大と、信頼性とセキュリティを確保するためのアプローチの複雑さに関連するオンライン支払い受付システムの開発者に新しい課題をもたらします



不正な取引の数とさまざまな種類の不正は、ますます集中的に増加しています。 ロシアは、イングランド、フランス、ドイツ、スペインとともに、銀行カードとの不正取引の年間取引量の点でヨーロッパの上位5か国に入っています。 2013年のヨーロッパでのカード詐欺による総損失は10億ユーロを超えました。 ロシアは1億1,000万ユーロを占めており、そのうち240万ユーロはインターネット経由で支払いを行う場合の詐欺です。



インターネットを介して製品/サービスを購入する際のオンライン支払いの参加者の完全なチェーンは、一般的に次のようになります。



オンライン支払いフロー





誰が誰ですか?
商人 -製品/サービスの売り手は、クライアントが製品/サービスの代金を支払うことができるウェブアプリケーションです。



クライアント -銀行のカードを使用して(または別のアクセス可能な方法で)商人のウェブサイトで製品/サービスの代金を支払う購入者。



電子決済システム (PS)-インターネットを介して(だけでなく)電子マネーによる支払いを受け付けるサービス(PSの例:Yandex.Money、WebMoney)。



銀行の取得 -銀行カードによる支払いを処理するサービスを提供する銀行。



国際支払いシステム (MPS)は、さまざまな国の銀行間の決済システムであり、共通の支払い手段の基準を使用しています。 MEAの例:Visa、Master Card、American Express。



発行銀行-クライアントが製品/サービスの代金を支払おうとしている銀行カードを発行した銀行。



問題



詐欺的な取引( 詐欺 、英国の詐欺による)の問題は、このチェーンのすべての参加者に影響します。顧客からカードを発行した銀行(クライアントに発行する銀行)まで。 カード所有者を除くすべての参加者にとって、不正な取引には多大な金銭的コスト評判リスクの両方が伴います 。 eコマース業界全体にとって、詐欺は目に見えるマイナスの結果ももたらします 。これは、 インターネットユーザーの 利益の損失不信の両方であり、電子決済の広範な普及を妨げます。



したがって、オンライン支払いの真剣な参加者のための詐欺支払い認識システム(詐欺防止システム )の存在(再び、買い手を除く)は市場の必需品です。 同時に、優れた不正防止システムは、ほとんどの場合「長く、高価な...」困難です。



挑戦する



経済的困難:開発コストと不正行為に対する罰則



そして、銀行が詐欺防止システムにコストをかけている場合、これはビジネス規模で許容できる金額です。 支払いシステム-ビジネスプロセスの不可欠な部分。 それから商人はしばしばそのようなシステムを作成し維持する方法の財政的な能力および/または理解を持っていません。



しかし、商人は詐欺を無視することもできません: せいぜい、商人は (サービスが既に提供されていても) 不正な支払いのお金を受け取らないだけで、最悪の場合商人罰金が科せられます。 一般に、罰金の額は10ドルから始まり、不正取引の量に比例して増加します。 さらに、多数の詐欺により、MPS(Visa、MasterCard)は商人に制裁を課す可能性があります(私はこの言葉を恐れていません)。



商人側のコストを削減する効果的な方法は、追加を導入することです 困難 クライアントをチェックし、一部/すべての職務の委任をチェックして、他の参加者への不正をチェックします。 最も一般的な方法は3-Dセキュア(発行銀行への検証責任の委任)です。



3-Dセキュア
3-Dセキュアは、オンラインクレジットカードとデビットカードにセキュリティの層を追加するプロトコルです。 実際、これはカード所有者の2要素認証です。



しかし、ユーザーの追加アクションを必要とするこのような手順を追加すると、 正常に完了したトランザクションの数が劇的に減少することがよくあることを考慮する価値があります(@Gremnixは、3-D Secure for Russiaが有効になっている場合、成功した支払いの数を20-25%削減する数値を発表しました)。



法的困難



不正防止システムの開発プロセスでは、クライアントと支払いデータの保護などの重要な分野、およびこの問題の正式な部分であるPCI DSSレベルの認証に対処する必要があります。



PCI PSSについて
PCI DSS (ペイメントカード業界のデータセキュリティ標準)は、ペイメントカード業界のデータセキュリティ標準であり、支払いデータの保存と転送のセキュリティを確保するための要件のリストです。 標準の詳細に興味がある人のために: Official PCI Security Standards Council Site



詐欺防止システムを開発する場合、支払いと顧客の個人データの保管/交換に関するいくつかの立法上の制限を考慮することも必要です。 ロシアでは、これは「個人データについて」(152-FZ)です。 サービスのソフトウェアアーキテクチャを検討する際に、この法律の規定の詳細に触れます。



技術的な問題



不正防止システムはビジネスに不可欠なシステムです。なぜなら、 その単純さは、ビジネスプロセスの停止につながるか、またはシステムが正しく機能しない場合、会社の財務上の損失のリスクを高めることになります。



したがって、信頼性、データストレージのセキュリティ、フォールトトレランス、システムのスケーラビリティに対する要件の増加。



不正防止システムの開発に関与するチームには、次の役割とこれらの役割の責任が含まれます。



加盟店のメリット



オンライン決済のチェーン全体で、商人は最も困難な状況の1つです:商人は、買い手とは異なり、自分の資金を使用して詐欺の責任を負い、同時に、銀行とは異なり、多くの場合、効果的に詐欺と戦うための十分なリソースを持っていません。



しかし、販売者には利点もあります。製品/サービスの購入者に関する固有の情報であり、ほとんどの場合、オンライン支払いの他の参加者(発行銀行やIPSなど)には利用できません。 したがって、ECNサイトには実際の支払人名が付いている可能性が非常に高いです。 配送サービスを提供するオンラインストアは、実際の国、支払人の都市などを知っている可能性が非常に高くなります。



アカウント所有者の名前と姓、アカウントの有効期間、マーチャントのウェブサイトを通じて以前に成功した支払いの数、httpリクエストの送信元ホストに関する情報、ブラウザー情報は、マーチャントがしばしば利用できる情報の短いリストです不正なトランザクション検索の効率を大幅に改善します。



結論続けるには...



不正な支払いの問題の主な側面を調査しました。 明らかに、 不正な支払いへの注意が不十分な場合、多大な金銭的費用が発生します 。 同時に、本格的な不正防止システムの開発には、 インフラストラクチャと、 かなりまれな能力を備えた専門家チームの作業に対する支払いの 両方に金銭的コストが必要です。



分散された拡張性の高いフォールトトレラントな不正検出システムを作成することを目的として、記事の次の部分で実験が行われます。



不正防止システムはWebサービスとして利用でき、サードパーティの販売者をサービスに接続できます。 財務目標は 、ハードウェアとソフトウェアの初期財務コストを大幅に削減し、専門家の数と費やされる工数を削減する多くのアプローチを適用することにより、サービスの開発をより安くすることです。



実験の詳細、サービスのソフトウェアアーキテクチャの説明、最も重要なモジュールの詳細な分析については、記事の以下の部分で説明します



More articles:


All Articles