Наблюдение и контроль транзакций своих интернет-продавцов — это неотъемлемая часть ежедневной рутины любой процессинговой компании, которая заботится о безопасности собственного бизнеса.

Контроль транзакций- основа безопасности бизнеса процессинговой компании?

И мы сейчас говорим не о защите онлайн-продавцов от мошеннических платежей, что само по себе так же очень важно. Мы имеем ввиду меры безопасности, предпринимаемые самой компанией, для собственной защиты от умышленных или неумышленных действий своих клиентов, интернет-продавцов, способных стать причиной мелких и крупных неприятностей.

Звучит слишком туманно? Хорошо. Скажем проще. Мир не идеален. И, несмотря на то, что большинство интернет-продавцов — это честные предприниматели, стремящиеся достойно вести свой бизнес, в электронной коммерции все ещё существует достаточное количество авантюристов, мошенников, да и просто безответственных личностей, охотно принимающих деньги от покупателей, но не слишком хорошо выполняющих свои обязательства перед ними.

Оказание услуг по приему и обработке интернет-платежей такого рода интернет-продавцам (особенно, если речь идет о транзакциях с участием банковских платежных карт) для процессинговой компании может обернуться финансовыми потерями, разрывом отношений с эквайринговыми партнерами и неприятными разговорами с правоохранительными органами.

Конечно, большинство сомнительных и подозрительных интернет-продавцов отсекается на стадии рассмотрения их заявлений на подключение к услуге по приему и обработке платежей через интернет, благодаря тщательному следованию известному правилу в платежной индустрии «Знай своего клиента».

Но как бы хорошо риск-менеджер не провел «дью дилидженс» интернет-продавца, все равно в последующем необходимо тщательно контролировать и проверять каждого торговца, подключенного к системе приема и обработки онлайн-платежей.

Когда обслуживаешь движение денежных потоков нужно всегда быть чуть-чуть параноиком. И поставщик платежных услуг должен постоянно контролировать своих продавцов на протяжении всего времени их обслуживания,  чтобы как можно раньше обнаружить сигналы о том, что что-то идет не так. И своевременно принять меры по исправлению ситуации совместно с интернет-продавцом, или, в крайнем случае, отключить его от услуги по приему и обработке интернет-платежей.

Признаки проблем для процессинговой компании. Начните контроль с транзакций ваших интернет-продавцов

Контроль своих интернет-продавцов начинается с контроля их транзакций. Поверьте, постоянно пополняющийся массив данных, который представляют собой платежные транзакции, рефанды и чарджбеки интернет-продавца, — это отличный источник информации о его текущей деятельности, если конечно знать, что искать и на что обращать внимание.

К примеру (это всем известно, но будет полезно ещё раз повторить), поставщик платежных услуг должен постоянно отслеживать уровень рефандов и чарджбеков по каждому из обслуживаемых интернет-магазинов. Превышение некоего установленного порога однозначно свидетельствует о том, что дела у интернет-торговца не в порядке. Просто потому, что покупатели и клиенты, довольные приобретенным товаром или услугой, как правило, не имеют привычки требовать возврата уплаченных денег.

Ещё один настораживающий признак возможной проблемы — это наличие среди транзакций интернет-магазина платежей на суммы, которые не совпадают с разнообразием цен на сайте онлайн-торговца и их производными. В 99% таких случаев за этим поведением скрывается агрегация. То есть, проще говоря, на самом деле интернет-продавец принимает через процессинговую систему поставщика платежных услуг деньги не за то, что он заявил при подключении к платежному сервису, а за что-то другое. Обычно нелегальное.

А вот ещё ситуационный паттерн, который должен вызвать подозрение риск-менеджеров процессинговой компании и заставить разобраться в происходящем:

Попытки (не имеет значения — успешные или нет) интернет-торговца принять относительно большое количество платежей от разных покупателей с разными картами, которые, при этом, были выданы одним и тем же банком-эмитентом, за относительно короткий промежуток времени. Банк-эмитент в данном случае определяется по BIN карты. Как правило, это означает, что или:

  1. К процессинговой системе платежного сервиса каким-то образом удалось подключиться мошеннику, и теперь он пытается «обналичить» деньги с пачки украденных банковских платежных карт;
  2.  Добропорядочный интернет-продавец стал жертвой кардеров, стремящихся сделать тоже самое.

Конечно, не исключена и ситуация, когда, например, банк-эмитент объявил акцию «расплатись нашей картой на таком-то сайте в течение часа и получи подарок». Но согласитесь, пока не знаешь наверняка, ситуация выглядит странно и требует особого внимания.

Кстати,  вспомните пример из реальной жизни, когда кардеры пытались использовать каким-то образом добытую пачку кредитных карт одного британского банка в небольшом интернет-магазине Эстонии.

Отслеживать подобный ситуационный паттерн можно и нужно не только по BIN, но и по многим другим транзакционным характеристикам: электронный адрес покупателя, его имя, номер телефона, IP адрес и так далее.

Мы привели только несколько примеров, показывающих насколько важно для поставщика платежных услуг контролировать и анализировать транзакционные потоки своих интернет-продавцов.

На самом деле таких транзакционных поведенческих шаблонов, которые могут сигнализировать о возникновении потенциально опасной для платежного сервиса ситуации, гораздо больше. И конечно отследить и обнаружить их вручную просто не возможно. Поэтому современные, продвинутые процессинговые системы для поставщиков платежных услуг (например, построенные на базе процессинговой платформы beGateway) имеют встроенные инструменты для автоматического мониторинга и анализа транзакций интернет-продавцов в режиме реального времени, и незамедлительно уведомляют риск-менеджера платежного сервиса в случае обнаружения чего-нибудь подозрительного.

Важные возможности. Обнаружить, блокировать и отклонить нежелательные транзакции на основании заранее заданных признаков

Однако анализ транзакционных паттернов – это только часть мер, которые должны быть доступны поставщику платежных услуг для контроля своих онлайн-торговцев. Ещё одной важной составляющей этого контроля является способность платежного сервиса, а точнее его процессинговой системы, обнаружить, блокировать и отклонить нежелательные транзакции у своих интернет-продавцов на основании заранее заданных признаков.

А таких признаков так же может быть очень много, например:

  1. Присутствие банковской платежной карты или покупателя в так называемых «черных списках», которые, кстати говоря, процессинговая система поставщика платежных услуг должна поддерживать.
  2. Попытка оплаты из страны с потенциально высоким уровнем вероятности последующего получения чарджбэка, то есть из так называемой страны высокого риска.
  3. Обычная подозрительная транзакция, для которой IP адрес покупателя находится в одной стране, билинг адрес — в другой, а банк-эмитент — в третьей.

Короче говоря, разнообразие признаков подозрительной единичной транзакции не уступает разнообразию транзакционных паттернов потенциально опасных ситуаций, о которых мы писали выше. А из этого следует, что для эффективной работы и с тем и с другим соответствующие инструменты процессинговой системы поставщика платежных услуг должны иметь гибкие настройки.

В платформе beGateway таким инструментом контроля интернет-продавцов является система по защите от мошенничества и управлению рисками beProtected.  Являясь частью платформы beGateway, beProtected может использоваться и как отдельно устанавливаемое программное обеспечение, работающее в связке с любой процессинговой системой.

beProtected умеет работать с более чем 40 характеристиками транзакции, включая BIN и цифровой отпечаток устройства, с которого эта транзакция была совершена. Позволяет риск-менеджерам поставщика платежных услуг создавать так называемые правила проверки и анализа транзакций в формате «если …, то …». Такой формат дает возможность описать практически любую ситуацию, требующую реакции риск-менеджера, и запрограммировать процессинговую систему платежного сервиса на немедленное уведомление в случае ее возникновения.

Какими бы прекрасными и совершенными инструментами контроля и анализа процессинговая система поставщика платежных услуг ни обладала, она должна позволять риск-менеджерам платежного сервиса, при необходимости, использовать сторонние программы и методы для анализа транзакций. Для этого риск-менеджеру нужно иметь возможность экспорта транзакционных данных в какой-либо файл для последующей работы с ними.

Процессинговые системы поставщиков платежных услуг, построенные на базе платформы beGateway, умеют экспортировать абсолютно всю информацию о транзакции (а это те самые 40+ ее отслеживаемых характеристик) в файл формата MS Excel.

Гибкая активация и дезактивация учетной записи продавца и его интернет-магазинов

И наконец, есть ещё одна вещь, о которой мы бы хотели упомянуть. Это активация и деактивация учетной записи продавца и его интернет-магазинов в процессинговой системе поставщика платежных услуг.

Многие процессинговые системы предлагают только 2 состояния для учетной записи торговца и его магазина:

1. «Включено», то есть разрешены все операции, доступные в процессинговой системе.

2. «Выключено», то есть если речь идет о магазине, то любые типы транзакций для него полностью запрещены, а если отключена учетная запись интернет-продавца, то его вход в рабочий кабинет не возможен.

Из опыта клиентов нашей компании (поставщиков платежных услуг, которые арендуют beGateway и используют ее в качестве собственной процессинговой системы)  мы знаем, что такой бинарный подход не очень удобен. Иногда требуется больше гибкости. И платформа beGateway дает такую гибкость.

В платформе beGateway можно запретить интернет-магазину прием новых платежей, но при этом оставить возможность проводить рефанды. Или запретить проводить любые типы транзакций для интернет-торговца, но оставить такую возможность для сотрудников поставщика платежных услуг. Или разрешить онлайн-торговцу вход в свой рабочий кабинет только для того, чтобы получать актуальную статистическую информацию о его транзакциях, но при этом запретить делать что-либо еще.

Полный контроль поставщика платежных услуг своих интернет-продавцов и их транзакций — это основа безопасности его бизнеса.

Respectfully, eComCharge TeamВерим в ваш успех, Команда eComCharge
eComCharge develops and delivers the PCI DSS Level 1 certified White Label Payment Platform beGateway for Payment Service Providers and Acquirers.Компания eComCharge разрабатывает и поставляет процессинговую платежную платформу beGateway, сертифицированную по самому высшему уровню стандарта PCI DSS, для поставщиков платежных услуг и банков, которые используют ее под собственным брендом.