当前面提到的授权,清算,结算都已经做完时,是不是就大功告成了呢?答案不是,我们还缺非常重要的一环,风控
风控是一个笼统的概念,没有标准答案,也是一项做不完的模块。
风控也分为技术层面的风控和业务层面的风控
技术层面
比如如何防止客人账户被盗,网页安全,数据安全
数据安全我们需要对所有敏感数据进行加密存储,加密最好不要自己代码编写加密代码,而是使用加密机HSM的方式,有自己独立机房的公司,可以单独购买加密机放在机房进行加密,没独立机房的可以考虑购买HSM的SAAS服务,各大云厂商都有相应的服务,笔者推荐使用AWS的,他们有比较完整PCI PIN证书,可以合规的处理PIN。但是他们的带有HSM的服务点在美国,使用起来不是很方便。
账户防盗方面,需要根据账户登录的IP,GPS,消费趋势,在线时间……一系列因素,来判定是否需要再次验证账户登录的有效性和进一步的安全认证。
业务层面
在大陆可能对这块并不是很在意,但是海外,这块就极其重要,因为在大陆,大部分人不知道有拒付(Chargeback)的概念。
拒付(Chargeback)
简单讲就是你在健身房交了一年的费用,还没用完一年,这个健身房关门跑路了,那你的钱就相当于被骗了。这时,其实你可以去找发卡行申请拒付,把健身房跑路的证明和你交了1年费用的证明提交给银行,发卡行会使用这些证据去问收单行要,如果收单行无法反驳,那收单行就需要对这笔交易进行赔付。
所以,这里,收单行的业务风控就显得极其重要,什么商户风险多高,需要怎么评定。
常见的风险模型
盗刷
在海外信用卡的体系中,其实只要有卡号和有效期,就可以刷卡。在很多不规范的支付机构,他们对数据安全管理是松散的,他们系统存储的卡号和有效期可能会泄露出去,不法分子会在黑市进行低价购买这些卡信息,然后进行交易。
通常这种数据模型有一个比较大的特征,短时间内,同一个IP或者GPS,进行大量的交易,有的更聪明的会使用代理IP进行切换,我们就需要把控好设备指纹等唯一ID信息,进行控制。一般这类交易会有很高的失败率,而且银行返回的错误码会是Fraud。还有一个特征就是一张卡失败后,会立刻换一张新卡,如果成功了,那会持续刷这张卡,直到这张卡失败为止。
欺诈
这种特征一般就是异地,跨国,而且交易金额比较大,交易数量少。
洗钱
交易量比较大,而且刷卡人群比较单一,需要计算消费者的随机率(Entropy)
倒闭
商户的交易频次,是否有很长一段时间停止交易,或者小额交易,突然有一天交易额突增的情况
套现
同一个卡,会在相同的商户,每个月刷类似的额度
预付款
商业里面有很多预付款场景,比如健身房,美容院,教育机构……就是先充值,后消费的场景。这种情况,需要监控好商户交易的连续性,防止倒闭风险。甚至可以考虑根据合同来分批次进行结算给商户,例如健身房有一笔交易是12个月的会员费,那这笔钱我们就平均分成12笔,每个月进行一次结算给到商户。当然,这种方式,商户大概率是会不高兴,可能不会选择你们的服务。你还可以对当地健身房的数量进行统计,再统计倒闭量,最后计算出一个合理的利润,能够在正常情况下,利润足够覆盖住倒闭带来的损失。
其他模型
其他模型这里就不一一介绍,不同的业务有不同的模型,都需要风控团队进行数据分析建模。
商户交易质量
标准差(Standard Deviation)
标准差在概率论上面就是正态分布曲线是否足够集中的衡量值,标准差越小,说明数据越集中在中间值,假设对于一个餐饮用户,平均消费金额在每桌300-600之前占比85%,其他范围占比低于15%,那就可以认定是一个非常优质的交易量。
调单(RFI)
有时对于一些大额交易,或者我们有怀疑的交易,或者我们对这个商户不够了解商业模式,就需要对交易进行调单,要求商户提供订单信息。这大概率商户会回复一个假的订单信息给你。这时就考验风控人员的判断力了。一般需要判断交易和他们提供的订单的时间,物流信息,商品价格是否合理,商品条目是否清晰,商品是否违规……
外卡占比
正常一个商户,60%以上属于本地卡交易,如果说这个商户的外卡率极高,那就需要提高警惕了,很少有商户接待外国人比本地人还多的场景。
退款率
退款率是衡量一个商户商品或者服务质量的重要指标。
网站扫描
对商户提供的网站进行扫描,判定网站证书是否合规,Https安全是否达标。商品信息进行爬取,判定价格是否合理,商品是否侵权,网站流量是否能和交易进行匹对。
这里只举例了一些比较常见的风控,具体实施需要根据具体场景来进行优化。风控是一个没有尽头的模块。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
