Pagos SaaS
¿Qué es una Verificación de Velocidad?
¿Qué es una Verificación de Velocidad?
Una verificación de velocidad es una regulación de evaluación de riesgos (en tiempo real) que observa la frecuencia de una acción específica del cliente durante un período de tiempo que la empresa tiene como objetivo. El sistema aborda las actividades que ocurren con una frecuencia que excede un límite establecido, como un cliente que intenta un pago más de una vez por segundo, marcándolas o bloqueándolas.
¿Por qué es importante la verificación de velocidad para los pagos de suscripción SaaS?
Las páginas web asociadas con la venta de productos SaaS a veces se marcan como puntos de acceso iniciales para software automatizado, lo cual es consistente con su disponibilidad pública característica (y que normalmente no requiere una contraseña para la interacción inicial con el servicio). La implementación de comprobaciones de velocidad proporciona un medio para gestionar al menos las tres categorías de abuso más frecuentes:
- La prueba de tarjetas implica el uso de sistemas automatizados para enviar numerosos números de tarjetas comprometidas a través del portal de transacciones de un comercio para identificar su estado operativo. Los gastos operativos de un comercio abarcan elementos como las tarifas de procesamiento y las obligaciones financieras relacionadas con los contracargos.
- Con el relleno de credenciales, los bots realizan secuencias de inicio de sesión automatizadas para probar si un número considerable de nombres de usuario y contraseñas, obtenidos a través de recopilaciones de datos previas, son funcionales dentro de una plataforma SaaS.
- La creación de numerosas cuentas gratuitas temporales a través de scripts permite el acceso a diversos servicios de pago, como la computación en la nube o herramientas de scraping, sin una suscripción correspondiente. Por ahora, las funciones son accesibles para estos usuarios sin costo, y no se prevé una monetización futura.
¿Qué datos alimentan una verificación de velocidad?
Un conjunto realmente sólido de reglas de velocidad solo prestará atención a la frecuencia de “un clic” y también examinará combinaciones de información relacionada con la identidad para atrapar al estafador que está haciendo todo lo posible por disfrazarse como:
- El registro de transacciones: El sistema muestra la frecuencia de un solo número de tarjeta de crédito, ID de cuenta o dirección de facturación de una persona siendo utilizados dentro del período de tiempo dado.
- Huellas digitales del dispositivo: Registra la combinación precisa de hardware, versión del navegador y resolución de pantalla. El escenario en el que un perfil de navegador muestra 20 usos en un lapso de dos minutos, acompañado de nombres de usuario variados, corresponde a un resultado de clasificación de bloqueo.
- Geolocalización IP: El número de veces que una solicitud proviene de la misma dirección IP. El sistema también está configurado para detectar ocurrencias como “viaje imposible”, como un inicio de sesión originado en Nueva York y posteriormente desde Tokio en un intervalo de cinco minutos.
- Análisis del comportamiento del correo electrónico: Estudiar el comportamiento de un cierto número de cuentas registradas únicamente con proveedores de correo electrónico temporales, o a través de diferentes variaciones de la misma dirección de correo electrónico base (como, por ejemplo, [email protected], [email protected], y así sucesivamente).
¿Cómo se implementa la verificación de velocidad en una pila de facturación SaaS?
Dependiendo del tamaño de la empresa, los equipos de ingeniería generalmente eligen una de las dos principales opciones de implementación:
- El Proveedor de Servicios de Pago: Su panel de control ofrece funcionalidades para definir reglas que aborden los intentos de prueba de tarjetas en una etapa inicial. El uso de esta funcionalidad no implica modificaciones al sistema principal ni programación adicional.
- Verificación de fraude a medida (API Dedicada)Unos pocos pasos antes de que la acción del cliente llegue a su sistema de facturación, usted tiene derecho a interceptarla y enviar una solicitud de API a su proveedor externo de fraude. Este nivel de análisis se basa en un seguimiento profundo de los datos dentro de la aplicación y en una compleja toma de decisiones histórica, y decide permitir o bloquear antes de que se procese cualquier otra cosa en el proceso de pago.
¿Cómo se ajustan las reglas de velocidad sin disparar las denegaciones falsas?
Los conjuntos de reglas específicos identifican situaciones en las que los usuarios genuinos pueden experimentar impedimentos de acceso (por ejemplo, una contraseña olvidada o una conexión a internet restringida). Aquí tiene algunos consejos para ayudarle a ajustar sus reglas:
- Revise las líneas de base históricas: Obtenga información sobre las actividades reales de los usuarios revisando los registros de clientes durante períodos de alto volumen, p. ej., grandes lanzamientos de productos, para ver qué tan rápido podría trabajar un humano al máximo. Límites iniciales de fraude puede establecerse a un nivel que excede los umbrales humanos típicos.
- Utilizar Ventanas Deslizantes Dinámicas: En lugar de reiniciar el conteo después de la medianoche, implemente ventanas de tiempo deslizantes (por ejemplo, un máximo de 3 intentos por ventana de 60 segundos).
- Dividir por Nivel de Confianza del Usuario: Permita verificaciones de velocidad más rápidas para usuarios bien reconocidos y con inicio de sesión prolongado; mientras tanto, aplique verificaciones de velocidad estrictas para los no registrados pagos como invitado o cuentas nuevas.
¿Qué es un error de "Verificación de velocidad fallida" y cómo se maneja?
Esto indica que el volumen de solicitudes de entrada está por encima del umbral máximo configurado durante un periodo de tiempo específico. Un mensaje de error simple y genérico (junto con el bloqueo de intentos posteriores) podría informar a entidades no autorizadas sobre aspectos de las medidas de seguridad. Esta combinación también afecta la experiencia de los usuarios autenticados. Una forma eficiente de abordar un desbordamiento es introducir CAPTCHA o la autenticación multifactor (MFA), ya que al hacerlo detiene la automatización del bot, al menos por el momento, y también le proporciona al usuario humano una salida al permitirle completar su trabajo.
Conclusión
La velocidad de verificación es una primera línea de defensa clave para las infraestructuras modernas de facturación SaaS. La medición en tiempo real de la frecuencia de eventos del usuario y las ventanas de tiempo móviles pueden permitir a una plataforma de software identificar y mitigar la automatización maliciosa, previniendo la sobrecarga del sistema y evitando ciertas penalizaciones relacionadas con el procesamiento.