Когда речь о единичных заказах, все процессы контролируются вручную. Но предприятия, обслуживающие большой поток клиентов, автоматизируют многие процессы — в частности, настраивают специальный протокол автовозвратов, и отмена даже большого количества транзакций более чем сотней фирм на вполне стандартные суммы заказов выглядит совершенно штатно.
Способы отменить ошибочные операции существуют, поэтому ситуацию успешно разрешили в пользу Додо и его франчайзи
Вообще, есть множество вариантов реализации блокировки даже только по географическим признакам — от отслеживания платежей, совершенных в регионе, отличном от обычного региона использования платежного сервиса/выпуска карты до расчета скорости перемещения.
При этом, просто наличие VPN или прокси у злоумышленника проблему обхода такой блокировки не решает — надо ж регион сменить не просто на другой, надо на тот, который механизмы контроля будут считать нормальным для конкретного аккаунта, и чем сложнее логика контроля — тем сложнее в каждый момент времени выбрать такую правильную точку.
Ну и, понятно, тут ещё масса других вариантов — а если платёж в торговой точке реальной картой? А если не только геоданные анализируются — а еще и товарная группа, сумма, и так далее? Тут никакой VPN сам по себе не поможет.
Но в целом, антифрод — это всегда выбор между удобством и минимизацией риска финансовых потерь. В идеале, все мошенники должны автоматически выделяться в потоке операций и автоматически блокироваться, не осложняя жизнь хорошим пользователям, но идеальной системы пока никто не реализовал. И бывает, что минимизация риска в таком выборе побеждает.
думаю он сначала должен спросить каким способом оплаты изволит платить человек, потом вывести список платёжных систем поддерживающих такой способ оплаты, а потом уже параметры от платёжной системы
Да, это один из возможных способов использования предлагаемой разметки — узнать, чего надо добиться (куда платеж должен попасть для совершения сделки) и предложить наиболее подходящий способ это сделать. Причем понятие «подходящий» у каждого пользователя может быть свое — кому-то надо чтобы было удобнее, кому-то — быстрее, кому-то — дешевле, а кому-то — комбинация из этих факторов.
Но надо помнить, что помимо возможностей и желаний пользователя есть еще возможности и желания продавца (куда он может принять деньги и во что ему это обойдется). Выбор оптимального решения в этой ситуации, скорее всего, потребует взаимодействия браузера, пользователя, PSP, и т.д.
значит должен быть некий нейтральный сайт, который делает то что я написал выше
Он не обязательно должен быть нейтральным. Например, сейчас роль таких сервисов исполняют PSP. Грубо говоря, PSP знают, как передать деньги магазину, и предлагают пользователю выбор, из какого источника их для этого взять (с карты, счета, путем конвертации из других платежных сервисов, и т.д.). Разметка просто позволит унифицировать этот процесс.
Вроде как звучит неплохо, но непонятно откуда список платёжных систем брать.
Магазин знает, где у него есть счета и куда есть возможность получать деньги, и может на это напрямую влиять. По сути, это список платежных систем, которого достаточно для начала операции, и именно его магазин должен указать в payto.
урл payto будет очень длинным, ну и пользователь может его изменить и вписать другую платёжную систему.
Поменять — да, может. Но чтобы сделка состоялась, необходимо, чтобы деньги попали на реквизиты, указанные в payto, поэтому самому пользователю их менять на другие особого смысла нет.
Подробное описание протокола и схемы работы появится в процессе разработки стандарта.
Но сценарии взаимодействия могут выглядеть, например, так: после того, как человек ткнул в payto, приложения, обрабатывающие это действие, способствуют в силу своих возможностей тому, чтобы процесс оплаты прошел как можно проще, быстрее и безопаснее для пользователя.
Скажем, если это ссылка на странице интернет-магазина, браузер, знающий про разметку типа payto, может, не уводя пользователя с сайта магазина, открыть отдельное окошко для проведения оплаты, узнать у платежного сервиса (PSP), поддерживающего стандарт (попутно убедившись в том, что он является доверенным), какие данные требуются для проведения операции (и нужна ли доп. информация), по мере необходимости подставить их самостоятельно в нужные поля, предоставив пользователю только нажать «Оплатить».
Браузер, знающий про разметку, но не столь продвинутый, как в предыдущем примере — может просто открыть отдельное окошко для проведения оплаты и убедиться, что взаимодействие с PSP осуществляется по безопасному протоколу.
Совсем не продвинутый клиент — например, почтовая программа, встретив такого рода ссылку в письме, может просто отправить пользователя по ней через браузер, и тогда процесс платежа пойдет дальше примерно по тому же сценарию, по которому сейчас работает большая часть платежных сервисов.
отчеты и API — на SSRS или ASP, и т.д.
Tabular сейчас в продакшене не используем.
Партиции в кубах — используем, но с ними есть свои особенности при росте объемов.
А про масштабирование — в двух словах не расскажешь, планируем в следующих статьях осветить эту тему более подробно.
Когда речь о единичных заказах, все процессы контролируются вручную. Но предприятия, обслуживающие большой поток клиентов, автоматизируют многие процессы — в частности, настраивают специальный протокол автовозвратов, и отмена даже большого количества транзакций более чем сотней фирм на вполне стандартные суммы заказов выглядит совершенно штатно.
Способы отменить ошибочные операции существуют, поэтому ситуацию успешно разрешили в пользу Додо и его франчайзи
При этом, просто наличие VPN или прокси у злоумышленника проблему обхода такой блокировки не решает — надо ж регион сменить не просто на другой, надо на тот, который механизмы контроля будут считать нормальным для конкретного аккаунта, и чем сложнее логика контроля — тем сложнее в каждый момент времени выбрать такую правильную точку.
Ну и, понятно, тут ещё масса других вариантов — а если платёж в торговой точке реальной картой? А если не только геоданные анализируются — а еще и товарная группа, сумма, и так далее? Тут никакой VPN сам по себе не поможет.
Но в целом, антифрод — это всегда выбор между удобством и минимизацией риска финансовых потерь. В идеале, все мошенники должны автоматически выделяться в потоке операций и автоматически блокироваться, не осложняя жизнь хорошим пользователям, но идеальной системы пока никто не реализовал. И бывает, что минимизация риска в таком выборе побеждает.
Что же касается кейса в статье — платежи, которые пользователь ранее проводил через Яндекс.Деньги, для анализа системе антифрод-мониторинга доступны.
Да, это один из возможных способов использования предлагаемой разметки — узнать, чего надо добиться (куда платеж должен попасть для совершения сделки) и предложить наиболее подходящий способ это сделать. Причем понятие «подходящий» у каждого пользователя может быть свое — кому-то надо чтобы было удобнее, кому-то — быстрее, кому-то — дешевле, а кому-то — комбинация из этих факторов.
Но надо помнить, что помимо возможностей и желаний пользователя есть еще возможности и желания продавца (куда он может принять деньги и во что ему это обойдется). Выбор оптимального решения в этой ситуации, скорее всего, потребует взаимодействия браузера, пользователя, PSP, и т.д.
Он не обязательно должен быть нейтральным. Например, сейчас роль таких сервисов исполняют PSP. Грубо говоря, PSP знают, как передать деньги магазину, и предлагают пользователю выбор, из какого источника их для этого взять (с карты, счета, путем конвертации из других платежных сервисов, и т.д.). Разметка просто позволит унифицировать этот процесс.
Магазин знает, где у него есть счета и куда есть возможность получать деньги, и может на это напрямую влиять. По сути, это список платежных систем, которого достаточно для начала операции, и именно его магазин должен указать в payto.
Поменять — да, может. Но чтобы сделка состоялась, необходимо, чтобы деньги попали на реквизиты, указанные в payto, поэтому самому пользователю их менять на другие особого смысла нет.
Но сценарии взаимодействия могут выглядеть, например, так: после того, как человек ткнул в payto, приложения, обрабатывающие это действие, способствуют в силу своих возможностей тому, чтобы процесс оплаты прошел как можно проще, быстрее и безопаснее для пользователя.
Скажем, если это ссылка на странице интернет-магазина, браузер, знающий про разметку типа payto, может, не уводя пользователя с сайта магазина, открыть отдельное окошко для проведения оплаты, узнать у платежного сервиса (PSP), поддерживающего стандарт (попутно убедившись в том, что он является доверенным), какие данные требуются для проведения операции (и нужна ли доп. информация), по мере необходимости подставить их самостоятельно в нужные поля, предоставив пользователю только нажать «Оплатить».
Браузер, знающий про разметку, но не столь продвинутый, как в предыдущем примере — может просто открыть отдельное окошко для проведения оплаты и убедиться, что взаимодействие с PSP осуществляется по безопасному протоколу.
Совсем не продвинутый клиент — например, почтовая программа, встретив такого рода ссылку в письме, может просто отправить пользователя по ней через браузер, и тогда процесс платежа пойдет дальше примерно по тому же сценарию, по которому сейчас работает большая часть платежных сервисов.