Как убедиться, что интернет-магазин продаёт черепицу из Череповца, а не соль для бассейнов с улицы Бассейной? Кейс продукта Датаскоп

Когда интернет-магазин подключает эквайринг в банке, он получает так называемый еком-терминал. Это программный код, встраиваемый на сайт для приема платежей по картам и сопутствующих сервисов, типа оформления возврата. Помимо всех модулей, требуемых для корректной обработки платежей, он содержит идентификатор конкретного мерчанта (интернет-магазина) в системах банка-эквайера.

В большинстве случаев мерчанты (интернет-магазины) используют терминал по назначению и принимают оплату товаров и услуги, указанных в договоре с банком. При подключении банк присваивает каждому мерчанту соответствующий код. Он называется MCC, merchant category code. В соответствии с ним, например, рассчитывается межбанковская комиссия (интерчейндж), которую зарабатывают банки-эмитенты, выпускающие карты. Из этих денег, в частности, выплачиваются так любимые гражданами кешбэки и бонусные баллы. Ещё часть средств компенсируют в рамках партнёрских программ сами мерчанты, но не будем сильно углубляться в механику работы программ лояльности. Имея конкретный МСС, магазин не имеет права продавать не подпадающие под него товары или услуги. И уж тем более принимать деньги для перечисления на кошелёк онлайн-казино или внесения вклада в онлайн-«пирамиду».

Но при желании этот терминал можно использовать для оплаты чего угодно, в том числе и нелегальных товаров и услуг. Или просто нарушать собственные правила банка, например, продавать товары типа принадлежностей для курения или секс-игрушек. Сам факт торговли ими никак не нарушает действующее законодательство, но банк-эквайер может иметь собственный взгляд на то, желает ли он обслуживать платежи в подобных магазинах.

Так вот, иногда соблазн оказывается слишком велик, и нормальный на первый взгляд сайт начинает продавать поддельные айфоны, собирать пожертвования для несуществующих больных или предлагать заработать здесь и сейчас 50% дохода на арбитраже криптовалют. И для обработки платежей использовать тот самый терминал, предназначенный для работы строго в рамках присвоенного МСС-кода.

Подобная нежелательная и часто незаконная деятельность называется мискодингом. Понятие мискодинга несколько шире описанных выше действий, но всегда связано с тем, что при приёме платежа мерчант принимает платёж, не соответствующий заявленному МСС-коду.

Любой поначалу белый и пушистый сайт, получив от банка терминал и поработав какое-то время в рамках правил для приличия, потом может «переобуться на лету» и узнать об этом будет довольно сложно. Особенно если на главной странице не написано большими буквами «купить дешёвые айфоны» или «заработок от 5000 евро за два часа работы в неделю». А бороться с такими ушлыми гражданами нужно не только для того, чтобы сохранить честное имя конкретного банка и не помогать им зарабатывать, а ещё и для того, чтобы избежать штрафов и взысканий от Национальной Системы Платёжных Карт (НСПК), которая регулирует все аспекты приёма оплаты по картам МИР. Банки, допускающие мискодинг, могут быть серьёзно оштрафованы. Причём наиболее неприятной мерой является не сумма разового штрафа в 50.000 рублей или не выплата 5 рублей за каждую транзакцию с мискодингом, а устанавливаемый в качестве штрафа максимальный размер межбанковской комиссии в 2.35% за каждую проведённую операцию. В особо запущенных случаях НСПК может пересчитать по штрафному тарифу все транзакции за предыдущие три месяца, что для крупного эквайера может составить миллионные потери.

Для того, чтобы избежать столь неприятных последствий, банк-эквайер, конечно, может нанять десяток сотрудников на полный рабочий день и поставить им задачу проверять все сайты на входе и потом периодически, например, раз в месяц, проверять повторно. Но подобные ручные проверки – очень рутинный и монотонный процесс, постоянно повышающий вероятность ошибок и недосмотра. Поэтому для того, чтобы борьба была успешной, а мониторинг – тщательным, понадобится автоматизированное решение.

Соответственно, такое решение было разработано российской компанией Инцидент Центр и получило название Датаскоп. Произошло это очень своевременно: в 2022 году с рынка ушли иностранные решения по проверке мерчантов Webshield и G2 от платёжной системы Mastercard. Российские банки временно остались один на один с любителями мискодинга, но продолжалось это лишь до момента появления на рынке более функционального и удобного софта.

Такое длинное вступление нужно было для того, чтобы лучше объяснить, для чего банкам может пригодиться автоматизированная проверка контента сайтов всех интернет-магазинов, приходящих в банк за эквайрингом, или уже взятых в работу.

Датаскоп не нужно устанавливать на рабочие компьютеры сотрудников или иным образом заводить во внутренний ИТ-контур банка. Доступ ко всему функционалу софта осуществляется через интернет с помощью любого современного браузера. Интерфейс продукта интуитивно понятен, в его основе лежат карточки мерчантов со всей информацией по их сайтам, полученной в ходе проверок, и гибкая система фильтров.

Работа системы начинается с того, что сотрудник банка загружает список URL на проверку. Загрузка списком нужна для того, чтобы не вносить информацию о сотнях и тысячах мерчантов вручную. Поэтому новые URL добавляются в систему через форму импорта в форматах XLS/CSV либо по API. После добавления все новые URL помещаются в очередь на проверку и начинается магия. Датаскоп проверяет весь текстовый контент сайта и обнаруживает все слова, указывающие на вероятные проблемы. Например, слово «заработок» на сайте по продаже кроссовок может указывать на вовлечение покупателей в пирамиды или сомнительные партнёрки. А бренды Apple, Dyson и Xiaomi на сайте стройматериалов подскажут, что здесь торгуют не только черепицей.

Словари, по которым проверяется контент, всегда актуальные и содержат все мыслимые слова и их сочетания, способные указывать на проблемы или неожиданные особенности работы сайтов. Но при желании в них всегда можно добавить новый чёрный список слов, с которыми не желает ассоциироваться тот или иной эквайер.

Проверкой соответствия контента и заявленного кода торговой точки (МСС) работа не ограничивается. На следующем шаге Датаскоп проверяет наличие на сайте чётко прописанной политики обмена и возврата, правил доставки, контактной информации и других подобных страниц. Это нужно для соответствия требованиям платёжной системы МИР (а также временно ушедших Visa и Mastercard) и внутреннего контроля банка.

Параллельно проверяется наличие домена интернет-магазина или связанных с ним ресурсов в базах данных Роскомнадзора и собственной базе Датаскопа. Это помогает быстро исключать из работы сайты, заблокированные РКН по той или иной причине. Также оцениваются технические параметры сайта: данные записи WHOIS, идентичность отображения контента при доступе через различных провайдеров из других регионов и стран. Таким образом выявляются случаи, когда для проверки российским банком сайт отображает «белый» контент, а из другой страны или с другого типа подключения к интернету отображается иначе.

В итоге Датаскоп собирает весь объём информации по каждой из площадок и работает по принципу CRM: в любой момент времени по каждому сайту можно посмотреть всю историю проверок, обнаруженных нехороших слов, известных брендов, критических изменений и принятых решений.

Ценность Датаскопа для банков состоит в замене ручного труда на автоматизированную проверку по нужным параметрам. Рабочее время и усилия сотрудника пригодятся на менее рутинных задачах, а скрупулёзную проверку всех страниц сайта лучше поручить специально обученному программному инструменту. То же самое касается и ссылок, ведущих на нехорошие сайты: вручную прокликать их чаще всего не получится, а для специализированного софта это не составит труда.

Дополнительным эффектом от внедрения Датаскопа может стать получение конкурентного преимущества перед другими эквайерами через повышение скорости обработки заявок. За то время, что другие банки тратят на изучение сайтов из входящих заявок вручную, с помощью Датаскопа получится их проверить во много раз быстрее.

Для того, чтобы быть в курсе того, какой софт для банков разрабатывают российские компании. Ну а если ты работаешь в банке – покажи эту статью коллегам, ответственным за проверки ТСП, подключаемых на онлайн-эквайринг. Вполне возможно, что Датаскоп сможет сберечь для них немало времени и нервных клеток. Продукт уже работает в трёх из пяти крупнейших российских эквайеров и готовится к внедрению ещё в нескольких банках России и дружественных государств.

Датаскоп входит в реестр Российского ПО под номером 24257 и относится к классу «12.11 Программное обеспечение для решения отраслевых задач в области финансовой деятельности и банковского сектора». Для того, чтобы посмотреть на Датаскоп в действии и получить любую дополнительную информацию, нужно всего лишь написать на почту info@incident-center.ru.