Règles de vélocité
Les règles de vélocité sont un composant essentiel de la prévention de la fraude, conçues pour détecter les schémas inhabituels dans la fréquence et la valeur des transactions.
Cardflo permet aux commerçants de définir des limites précises sur le nombre de transactions, ou la valeur, pouvant être traitées par une seule carte, un seul client ou une seule adresse IP sur une période définie.
Cela permet d'identifier et de bloquer les tentatives de fraude à volume élevé et de courte durée.
- Catégorie
- Risque
- Capacités
- 10
- Disponible sur
- Tous les plans
L'aperçu
Les contrôles de vélocité constituent une couche fondamentale d'un cadre de gestion des risques pour les commerçants, agissant comme une défense proactive contre la fraude automatisée.
Ces règles surveillent la fréquence et le volume des transactions associées à des identifiants spécifiques, tels qu'un numéro de compte principal de carte, une adresse IP, une empreinte numérique d'appareil ou une adresse e-mail.
Dans le contexte de la pile de paiement, la logique du moteur de vélocité réside généralement dans la passerelle ou la couche d'orchestration de paiement, évaluant les données de transaction avant qu'elles ne soient envoyées à l'acquéreur pour autorisation.
En établissant des limites supérieures sur le nombre de tentatives ou la valeur monétaire totale traitée dans une fenêtre temporelle discrète (allant de quelques secondes à plusieurs semaines), les commerçants peuvent perturber les attaques par force brute comme le test de carte.
Ce mécanisme est particulièrement efficace pour identifier les comportements de consommation anormaux qui s'écartent des normes historiques, permettant une intervention en temps réel telle que des refus définitifs ou un routage vers l'authentification renforcée via 3DS.
Une configuration correcte implique d'équilibrer la prévention de la fraude avec la préservation des taux de conversion légitimes.
Comment ça marche
Définir les paramètres d'identifiant
Le système sélectionne des points de données spécifiques à suivre, y compris le BIN de la carte, l'identifiant client attribué par le commerçant ou l'adresse IP physique de la session de paiement.
Ces identifiants servent d'ancrage pour le comptage des événements de transaction ultérieurs sur le compte commerçant ou plusieurs MID au sein de l'entité commerciale.
Établir des fenêtres temporelles
Les commerçants configurent des intervalles de temps spécifiques pour la surveillance, tels que des rafales de soixante secondes pour attraper les bots ou des fenêtres de trente jours pour identifier une fraude plus lente et systématique.
Ces fenêtres glissantes se mettent à jour en permanence à mesure que de nouvelles transactions entrent dans la passerelle, garantissant que le moteur de risque maintient un décompte précis en temps réel de l'activité.
Définir la logique de seuil
Des limites numériques sont appliquées aux identifiants définis. Par exemple, une règle pourrait autoriser un maximum de trois transactions par carte par heure.
Les seuils peuvent être basés sur des décomptes de tentatives discrètes, la valeur totale cumulative des transactions, ou même la fréquence des codes de refus spécifiques reçus de l'émetteur.
Automatiser les actions de réponse
Lorsqu'un seuil est dépassé, la couche d'orchestration exécute une action prédéfinie.
Cela peut aller du signalement de la transaction pour examen manuel, à l'imposition d'un défi 3-D Secure pour la conformité SCA, ou à l'émission immédiate d'un refus définitif pour éviter une exposition supplémentaire aux frais de système ou aux rétrofacturations.
Pourquoi c'est important
Atténuation des tests de carte
Les scripts automatisés tentent souvent de valider des détails de carte volés en traitant de nombreuses transactions de faible valeur en succession rapide.
Les règles de vélocité identifient immédiatement ces schémas à haute fréquence, bloquant les tentatives avant qu'elles ne provoquent une accumulation significative de frais de système ou ne déclenchent des programmes de surveillance des systèmes de cartes.
Cette approche proactive protège la réputation du commerçant auprès de son acquéreur et minimise les frais techniques.
Réduction des ratios de rétrofacturation
En empêchant les rafales frauduleuses à volume élevé, les commerçants peuvent maintenir leur ratio de rétrofacturation par rapport aux transactions dans les limites acceptables du système.
Étant donné que les contrôles de vélocité empêchent les utilisateurs non autorisés d'effectuer plusieurs achats importants sur une seule carte compromise,
la responsabilité financière potentielle due à la fraude amicale ou à la prise de contrôle de compte est plafonnée au seuil défini par le gestionnaire des risques.
Cas d'usage
Commerçants de biens numériques
Les entreprises vendant des bons d'accès instantané ou des logiciels sont souvent confrontées à des vols rapides. Les règles de vélocité empêchent un seul utilisateur d'acheter des dizaines de codes en quelques minutes, ce qui est un indicateur courant d'un instrument de paiement compromis.
Services d'abonnement
Les entités de facturation récurrente utilisent des contrôles de vélocité pendant la phase d'inscription initiale pour prévenir les attaques massives de botnets qui tentent de créer des milliers de faux comptes à l'aide de jeux de données de cartes de crédit volées.
Plateformes de marché
Les plateformes avec divers sous-commerçants utilisent la surveillance de la vélocité pour s'assurer qu'aucun acheteur ne cible de manière disproportionnée des vendeurs spécifiques, ce qui peut aider à identifier la collusion ou les tentatives sophistiquées de blanchiment d'argent.
En chiffres
Cette fourchette reflète les résultats standard de l'industrie pour les commerçants qui mettent en œuvre des blocs de vélocité automatisés sur les rafales de tests de carte par rapport à ceux qui ne comptent que sur les refus côté émetteur.
Généralement, des seuils de vélocité bien réglés signalent une petite minorité de transactions pour examen manuel, garantissant que les équipes de risque se concentrent sur la fraude à forte probabilité sans surcharger la capacité opérationnelle.
La plupart des moteurs de risque de passerelle modernes exécutent la logique de contrôle de vélocité dans ce laps de temps, ce qui représente un impact négligeable sur le temps de réponse total du paiement pour le consommateur final.
Termes associés
Talk to our team about a live rollout on your acquiring stack.
Ce que vous obtenez avec Règles de vélocité
- Configurer le nombre maximal de tentatives de transaction par carte unique dans une fenêtre glissante de soixante minutes.
- Limiter la valeur totale des transactions par adresse e-mail du client sur une période glissante de vingt-quatre heures.
- Restreindre le nombre de cartes distinctes utilisées à partir d'une seule adresse IP par jour.
- Appliquer des seuils de vélocité plus stricts pour les transactions provenant de MCC ou de régions géographiques à haut risque.
- Déclencher une authentification 3-D Secure obligatoire lorsqu'un client dépasse une limite de vélocité de niveau intermédiaire.
- Automatiser les refus définitifs pour les entités dépassant les plafonds de fréquence maximum afin d'éviter les pénalités de l'acquéreur.
- Surveiller les tendances de vélocité sur les MID individuels ou agréger les données au niveau de l'organisation.
- Exempter les clients figurant sur liste blanche des plafonds de vélocité standard afin d'éviter les frictions pour les acheteurs réguliers de grande valeur.
- Analyser la fréquence des réponses de refus partiel pour détecter les tests de carte systématiques ou les comportements de sondage.
- Différencier les règles de vélocité pour les paiements en tant qu'invité par rapport aux sessions utilisateur authentifiées et connectées.
A short scoping call, then a written plan for your MIDs.
Questions à propos de Règles de vélocité
Comment les règles de vélocité contribuent-elles à prévenir les programmes de surveillance des systèmes de cartes ?
Les systèmes de cartes comme Visa et Mastercard surveillent les commerçants pour les taux de refus élevés et l'activité de test de carte.
Si un commerçant subit une augmentation des tentatives non autorisées, il peut être placé dans des programmes de surveillance qui entraînent d'importantes amendes mensuelles. Les règles de vélocité interrompent ces attaques automatisées en bloquant les transactions au niveau de la passerelle avant qu'elles n'atteignent l'émetteur.
Cela garantit que la majeure partie de l'activité frauduleuse n'est pas prise en compte dans les ratios officiels de refus ou de fraude du commerçant, tels que vus par le système.
Les règles de vélocité peuvent-elles être ajustées en fonction du mode de paiement spécifique utilisé ?
Oui, les profils de risque varient considérablement entre les types de paiement.
Les commerçants appliquent souvent des limites de vélocité plus strictes aux transactions par carte de crédit et de débit par rapport aux méthodes plus sécurisées comme Apple Pay ou Google Pay, qui utilisent la tokenisation biométrique.
De même, les méthodes de paiement alternatives (APM) qui sont non réversibles ou impliquent des virements bancaires pourraient nécessiter une logique de seuil différente car le risque de rétrofacturation est considérablement plus faible qu'avec les paiements par carte traditionnels.
Quel est le risque de faux positifs lors de la mise en œuvre de plafonds de vélocité agressifs ?
Des règles de vélocité agressives peuvent bloquer par inadvertance des clients légitimes, tels que des utilisateurs intensifs effectuant plusieurs achats ou des entreprises utilisant des cartes d'entreprise pour plusieurs employés.
Pour minimiser cela, les commerçants doivent analyser les données de transactions historiques pour définir des seuils légèrement supérieurs au 99e centile du comportement normal des clients.
La mise en œuvre d'un « mode furtif » où les règles signalent les transactions sans les bloquer permet aux équipes de risque d'affiner les seuils avant de les mettre en production.
Est-il possible de suivre la vélocité sur plusieurs identifiants de commerçant (MID) ?
Les plateformes d'orchestration de paiement permettent l'agrégation des données de transaction sur plusieurs MID. C'est vital car les fraudeurs alternent souvent entre différents sous-magasins ou sites web régionaux pour échapper à la détection sur un seul compte.
Le suivi de la vélocité inter-MID crée une vue unifiée de l'identité du client, garantissant que si une carte est bloquée sur un compte commerçant en raison d'une fréquence élevée, elle est globalement restreinte dans toute l'organisation.
Comment la surveillance de la vélocité interagit-elle avec l'authentification forte du client (SCA) ?
Les règles de vélocité peuvent servir de déclencheur intelligent pour la SCA.
Au lieu d'un simple succès/échec binaire, une règle peut être configurée de manière à ce que les deux premières transactions soient autorisées, mais que toute tentative ultérieure dans la même heure nécessite un défi 3DS.
Cela équilibre une expérience fluide pour la majorité des utilisateurs avec la surcharge de sécurité nécessaire pour les transactions qui présentent des schémas de fréquence à risque plus élevé.
Quels sont les points de données les plus efficaces pour le suivi de la vélocité au-delà du numéro de carte ?
Bien que le numéro de compte principal soit courant, les fraudeurs sophistiqués utilisent plusieurs cartes. Les stratégies de vélocité efficaces intègrent l'empreinte numérique de l'appareil, les hachages d'adresses de livraison et les domaines de messagerie.
Le suivi de la fréquence des tentatives à partir d'un seul identifiant d'appareil ou d'un sous-réseau spécifique d'adresses IP est souvent plus efficace que le suivi basé uniquement sur la carte, car il identifie l'infrastructure sous-jacente utilisée par l'attaquant.
Prêt à accélérer ?
Parlez-nous de votre activité. Nous vous mettrons en relation avec les bons partenaires acquéreurs et la bonne route, généralement en moins d'une semaine.
