Paiements SaaS
Qu'est-ce qu'un Velocity Check ?
Qu'est-ce qu'un Velocity Check ?
Un contrôle de vélocité est un mécanisme d'évaluation des risques (en temps réel) qui observe la fréquence d'une action client spécifique sur une période ciblée par l'entreprise. Le système traite les activités qui se produisent à une fréquence dépassant une limite établie, comme un client tentant un paiement plus d'une fois par seconde, en les signalant ou en les bloquant.
Pourquoi le contrôle de vélocité est-il important pour les paiements d'abonnement SaaS ?
Les pages web associées aux ventes de produits SaaS sont parfois signalées comme des points d'accès initiaux pour les logiciels automatisés, conformément à leur disponibilité publique caractéristique (et ne nécessitant généralement pas de mot de passe pour l'interaction initiale avec le service). La mise en œuvre de contrôles de vélocité permet de gérer au moins les trois catégories d'abus les plus fréquentes :
- Le test de cartes implique l'utilisation de systèmes automatisés pour soumettre de nombreux numéros de carte compromis via le portail de transaction d'un commerçant afin d'identifier leur statut opérationnel. Les dépenses opérationnelles d'un commerçant englobent des éléments tels que les frais de traitement et les obligations financières liées aux rejets de débit.
- Avec le Credential Stuffing, des bots effectuent des séquences de connexion automatisées pour tester si un nombre considérable de noms d'utilisateur et de mots de passe, obtenus via des collectes de données antérieures, sont fonctionnels au sein d'une plateforme SaaS.
- La création de nombreux comptes temporaires gratuits via des scripts permet d'accéder à divers services payants, tels que le cloud computing ou les outils de scraping, sans abonnement correspondant. À l'heure actuelle, les fonctionnalités sont accessibles à ces utilisateurs sans frais, et aucune monétisation future n'est prévue.
Quelles données alimentent un contrôle de vélocité ?
Un ensemble de règles de vélocité très robustes ne prêtera attention qu'à la fréquence de “a click” et examinera également les combinaisons d'informations liées à l'identité pour attraper le fraudeur qui fait de son mieux pour se déguiser en :
- Le journal des transactions: Le système affiche la fréquence d'utilisation d'un numéro de carte de crédit unique, d'un identifiant de compte ou d'une adresse de facturation d'une personne au cours de la période donnée.
- Empreintes numériques d'appareil: Enregistre la combinaison précise du matériel, de la version du navigateur et de la résolution d'écran. Le scénario où un profil de navigateur affiche 20 utilisations en l'espace de deux minutes, accompagné de noms d'utilisateurs variés, correspond à un résultat de classification de blocage.
- Géolocalisation IP: Le nombre de fois qu'une requête provient de la même adresse IP. Le système est également configuré pour détecter les occurrences d'« impossible travel », telles qu'une connexion provenant de New York et, par la suite, de Tokyo dans un intervalle de cinq minutes.
- Analyse du comportement des e-mails: L'étude du comportement d'un certain nombre de comptes enregistrés uniquement avec des fournisseurs d'e-mails temporaires, ou via différentes variations de la même adresse e-mail de base (comme, par exemple, [email protected], [email protected], et ainsi de suite).
Comment implémenter le contrôle de vélocité dans une pile de facturation SaaS ?
Selon la taille de l'entreprise, les équipes d'ingénierie choisissent généralement l'une des deux principales options d'implémentation :
- Le Fournisseur de Services de Paiement: Son tableau de bord offre des capacités pour définir des règles qui traitent les tentatives de test de cartes à un stade initial. L'utilisation de cette fonctionnalité n'implique pas de modifications du système principal ni de programmation supplémentaire.
- Contrôle de fraude sur mesure (API dédiée): Quelques étapes avant que l'action du client n'atteigne votre système de facturation, vous avez le droit de l'intercepter et d'envoyer une requête API à votre fournisseur externe de prévention de la fraude. Ce niveau d'analyse est basé sur un suivi approfondi des données au sein de l'application et une prise de décision historique complexe, et décide d'autoriser ou de bloquer avant que quoi que ce soit ne soit transmis plus loin dans le processus de paiement.
Comment affiner les règles de vélocité sans provoquer une augmentation des faux rejets ?
Des ensembles de règles spécifiques identifient les situations où les utilisateurs légitimes pourraient rencontrer des obstacles d'accès (par exemple, un mot de passe oublié ou une connexion internet restreinte). Voici quelques conseils pour vous aider à affiner vos règles :
- Examiner les données de référence historiques: Obtenez des informations sur les activités réelles des utilisateurs en examinant les journaux des clients pendant les périodes de fort volume, par exemple, grands lancements de produits, pour voir à quelle vitesse un humain pourrait travailler au maximum. Les limites initiales limites de fraude peut être établi à un niveau qui dépasse les seuils humains typiques.
- Utiliser des fenêtres glissantes dynamiques: Au lieu de réinitialiser le compteur après minuit, implémentez des fenêtres de temps glissantes (par exemple, un maximum de 3 tentatives par fenêtre de 60 secondes).
- Diviser par niveau de confiance de l'utilisateur: Autorisez des vérifications de vélocité plus rapides pour les utilisateurs connectés de longue date et bien reconnus ; parallèlement, appliquez des vérifications de vélocité strictes pour les utilisateurs non enregistrés les paiements en tant qu'invité ou les nouveaux comptes.
Qu'est-ce qu'une erreur « Échec du contrôle de vélocité » et comment la gérer ?
Cet indicateur est associé au volume de requêtes entrantes dépassant le seuil maximal configuré pendant une durée spécifique. Un message d'erreur simple et générique (associé au blocage des tentatives ultérieures) pourrait informer les entités non autorisées sur certains aspects des mesures de sécurité. Cette combinaison affecte également l'expérience des utilisateurs authentifiés. Un moyen efficace de gérer un débordement est d'introduire CAPTCHA ou l'authentification multifacteur (MFA), car cela interrompt l'automatisation du bot, du moins pour le moment, et offre également à l'utilisateur humain une échappatoire en lui permettant de terminer son travail.
Conclusion
La vélocité de vérification est une première ligne de défense essentielle pour les infrastructures de facturation SaaS modernes. La mesure en temps réel de la fréquence des événements utilisateurs et des fenêtres temporelles glissantes peut permettre à une plateforme logicielle d'identifier et d'atténuer l'automatisation malveillante, prévenant ainsi la surcharge du système et évitant certaines pénalités liées au traitement.