Pagamenti SaaS
Cos'è un Controllo di Velocità?
Cos'è un Controllo di Velocità?
Un velocity check è un meccanismo di valutazione del rischio (in tempo reale) che osserva la frequenza di una specifica azione del cliente in un determinato periodo di tempo stabilito dall'azienda. Il sistema gestisce attività che si verificano con una frequenza che supera un limite stabilito, come un cliente che tenta un pagamento più di una volta al secondo, segnalandole o bloccandole.
Perché il Velocity Checking è importante per i pagamenti in abbonamento SaaS?
Le pagine web associate alle vendite di prodotti SaaS sono talvolta contrassegnate come punti di accesso iniziali per software automatizzati, in linea con la loro caratteristica disponibilità pubblica (e non richiedendo solitamente una password per l'interazione iniziale con il servizio). L'implementazione di controlli di velocità fornisce un mezzo per gestire almeno le tre categorie di abuso più frequenti:
- Il card testing comporta l'utilizzo di sistemi automatizzati per inviare numerosi numeri di carta compromessi attraverso il portale di transazione di un esercente al fine di verificarne lo stato operativo. Le spese operative di un esercente comprendono voci quali le commissioni di elaborazione e gli oneri finanziari legati ai chargeback.
- Con il Credential Stuffing, i bot eseguono sequenze di accesso automatizzate per verificare se un numero considerevole di nomi utente e password, ottenuti tramite precedenti raccolte di dati, sono funzionanti all'interno di una piattaforma SaaS.
- La creazione di numerosi account gratuiti temporanei tramite script consente l'accesso a vari servizi a pagamento, come il cloud computing o strumenti di scraping, senza un abbonamento corrispondente. Attualmente, le funzionalità sono accessibili a questi utenti senza alcun costo, e la monetizzazione futura non è prevista.
Quali dati alimentano un Velocity Check?
Un insieme davvero robusto di regole di velocità presterà attenzione solo alla frequenza di “un click” e analizzerà anche combinazioni di informazioni relative all'identità per cogliere in flagrante il truffatore che sta facendo del suo meglio per mascherarsi da:
- Il Log delle Transazioni: Il sistema mostra la frequenza di un singolo numero di carta di credito, un ID account o un indirizzo di fatturazione di una persona utilizzati all'interno del dato periodo di tempo.
- Impronte Digitali del Dispositivo: Registra la combinazione precisa di hardware, versione del browser e risoluzione dello schermo. Lo scenario in cui un profilo browser mostra 20 utilizzi in un arco di due minuti, accompagnato da nomi utente diversi, corrisponde a un risultato di classificazione come blocco.
- Geolocalizzazione IP: Il numero di volte in cui una richiesta proviene dallo stesso indirizzo IP. Il sistema è inoltre configurato per rilevare occorrenze come “spostamenti impossibili”, ad esempio un login originato a New York e successivamente da Tokyo entro un intervallo di cinque minuti.
- Analisi del Comportamento delle Email: Studiare il comportamento di un certo numero di account registrati solo con provider di posta elettronica temporanei, o tramite diverse varianti dello stesso indirizzo email di base (come, ad esempio, [email protected], [email protected] e così via).
Come si implementa il Velocity Checking in uno stack di fatturazione SaaS?
A seconda delle dimensioni dell'azienda, i team di ingegneria generalmente scelgono una delle due principali opzioni di implementazione:
- Il Fornitore di Servizi di Pagamento: La sua dashboard offre funzionalità per definire regole che affrontano i tentativi di card testing in una fase iniziale. L'utilizzo di questa funzionalità non comporta modifiche al sistema primario o programmazione aggiuntiva.
- Controllo Frodi Su Misura (API Dedicata): Pochi passaggi prima che l'azione del cliente raggiunga il tuo sistema di fatturazione, hai il diritto di intercettarla e inviare una richiesta API al tuo fornitore esterno di servizi antifrode. Questo livello di analisi si basa su un tracciamento approfondito dei dati in-app e su un complesso processo decisionale storico, e decide di consentire o bloccare prima che qualsiasi cosa venga ulteriormente inoltrata nel processo di pagamento.
Come si regolano le Regole di Velocità senza aumentare i falsi rifiuti?
Set di regole specifiche identificano situazioni in cui gli utenti autentici potrebbero riscontrare impedimenti all'accesso (ad esempio, una password dimenticata o una connessione internet limitata). Ecco alcuni suggerimenti per aiutarti a ottimizzare le tue regole:
- Esamina i Dati Storici di Riferimento: Ottieni approfondimenti sulle attività reali degli utenti esaminando i log dei clienti durante periodi di alto volume, ad es., grandi lanci di prodotti, per vedere quanto velocemente un essere umano potrebbe lavorare al massimo. Iniziali limiti di frode può essere stabilito a un livello che supera le soglie umane tipiche.
- Utilizza Finestre Mobili Dinamiche: Invece di riavviare il conteggio dopo mezzanotte, implementa finestre temporali mobili (ad esempio, un massimo di 3 tentativi per finestra di 60 secondi).
- Dividi per Livello di Fiducia dell'Utente: Consenti controlli di velocità più rapidi per utenti riconosciuti e con login di lunga data; nel frattempo, applica controlli di velocità rigorosi per gli utenti non registrati acquisti come ospite o nuovi account.
Cos'è un errore "Velocity Check Failed" e come gestirlo?
Questo indica che il volume di richieste in ingresso supera la soglia massima configurata per un dato periodo. Un messaggio di errore generico (che blocca i tentativi successivi) potrebbe rivelare a entità non autorizzate dettagli sulle misure di sicurezza. Questa combinazione incide anche sull'esperienza degli utenti autenticati. Un modo efficace per gestire un sovraccarico è introdurre CAPTCHA o la l'autenticazione a più fattori (MFA), poiché così facendo si interrompe l'automazione del bot, almeno per il momento, e si offre all'utente umano una via d'uscita, consentendogli di completare il proprio lavoro.
Conclusione
La velocità di verifica è una prima linea di difesa fondamentale per le moderne infrastrutture di fatturazione SaaS. La misurazione in tempo reale della frequenza degli eventi utente e delle finestre temporali mobili può consentire a una piattaforma software di identificare e mitigare l'automazione malevola, prevenendo il sovraccarico del sistema ed evitando determinate penali legate all'elaborazione.