標籤:

第三方支付公司風控系統都有哪些?

01-22

雲風控與本地風控的各自優勢?

風控系統與所在行業、區域(國家)、業務模式、業務數據量積累、生產運營經驗等都有密切關係,指望直接採購一套現成的軟體系統或使用在線風控(雲風控)來解決所有風險控制問題基本不靠譜。

個人認為評價一套成熟風控系統的一些標準:

1、在特定行業/領域長期的運營經驗積累

只有經歷過較為長期生產運營過程,才能夠真正洞察一個行業的業務風險關鍵點,才能積累特定行業或領域的歷史數據供系統挖掘和持續優化,也才可能總結出針對特定行業行之有效的風控規則及風控模式。

2、在特定行業/領域相對成熟的風控規則、風控模式最佳實踐經驗

純粹只有一套系統,即便架構極為NB,但如果沒有針對特定行業或領域的風控規則積累及對應的風控模式的最佳實踐經驗,那正如人光有骨架但缺少肌肉和精神。例如國外FICO、Experian、CyberSource之類的風控系統肯定很牛,但直接放到中國市場來使用,也會水土不服,很難馬上發揮作用。

3、與之配套的風控體系、運營模式(方法論)

4、系統架構具有擴展性

風控系統本質上要解決兩大類問題:

1、交易主體

核心問題:

交易主體身份識別:IP地址是否為黑名單IP、代理伺服器、設備指紋獲取、客戶端是否為虛擬機、手機操作系統是否ROOT/越獄、信用卡是否為盜卡、用戶是否為實名等等。

交易主體信用:例如P2P中借款人的信用評分、徵信系統的信用評級等。

2、交易本身的風險

回到題主的問題:

關於雲風控:

目前雲風控大致有如下幾類:

1、依託特定行業/領域長期歷史數據積累提供的服務:

像外卡收單的Retail Decisions(ReD)針對盜卡之類的服務、Maxmind提供的針對GeoIP的IP黑名單庫、IP代理伺服器檢測等服務。

當然也包括諸如國政通、公安部身份證認證系統之類依靠壟斷提供的服務。

2、針對特定領域提供風控服務:

目前雲風控都剛起步,指望大而全的服務基本上都不靠譜。

參考以上成熟風控的評價標準可以看出:目前市面上諸多雲風控廠商在特定行業的歷史數據積累和運營經驗沒有、業務風控規則的積累也沒有,單純有一套忽悠人用的方法論及所謂的NB系統。

只不過市面上一些公司的服務在特定領域還是有價值(當然這些公司都希望轉型為提供大而全風控服務的廠商),像一些公司提供信用評級演算法服務、基於設備指紋識別的反欺詐服務等。

3、徵信服務

除了央行的徵信系統、螞蟻金服的徵信系統外,個人認為短期內鼓吹徵信服務或提供全面風控體系解決方案的都是耍流氓。

關於自建風控系統:

整體而言,個人傾向於:

1、在特定領域使用專業廠商的風控服務,例如盜卡、IP庫、設備指紋識別等

2、在風控系統IT規划上,學習借鑒成熟廠商的系統架構、方法論

3、在風控系統建設上,採用開源解決方案+自主研發的方式

個人推薦方案:規則引擎(Drools)+ CEP(Drools Fusion、Esper或Spark)+機器學習演算法(scikit-learn)

對於銀行卡收單業務里的線下收單業務,個人淺顯得人為,風控的目的在於以下幾個方面:

1.風險預警

2.止損

3.風險成本把控

其實人行發布的銀行卡收單管理辦法裡面有一點,個人認為非常精髓,就是「了解你的商戶」。這一點說明監管部門還是很接地氣的,但是實際上目前第三方非金機構基本上做不到這一點,因為目前第三方完全被渠道代理商架空,越來越像一個純粹的跨行轉接清結算通道,類似「銀聯」。只有代理商才能接觸真實商戶,而代理商是趨利的,為了利益蒙蔽商戶和第三方大肆作假,以求快速下機,通過高套低賺取手續費差價。所以第三方非金機構資料庫裡面的商戶信息可能就是「殼」,或者說壓根睜一隻眼閉一隻眼。

所以在不了解商戶的前提下,怎麼做風控?

好吧!也許實際上人家根本就不關心商戶的實際情況,

人家只關心代理商能帶來多少交易量,至於商戶質量、潛在風險以及風險成本那是後話了,反正大家都是無節操、秀下限,賺錢圈地才是硬道理…

所以個人認為,這以上大環境下,風控就是通過歷史風險商戶的樣本數據,建立科學有效的風險規則和風險模型,及時預警、止損。這裡不是隨隨便便買一套現成的系統就可以搞定的,同時結合第三方不同發展階段的市場發展策略制定不同風控策略,比如有時候降低風控標準快速搶先市場份額…

所以不管是雲風控還是傳統風控,最終還是看:

1.樣本數據,風險商戶特徵

2.風控模型,風控規則、策略、手段

3.風險成本管理能力,止損等

以上均為腦補,僅供參考!

這個問題我邀請了我們豈安科技CTO陸文進行回答。從他的角度對一些風險相關的概念進行通俗化的闡述,希望能講明我們想要針對的問題是什麼,技術的角度看需要去做什麼,為什麼要這麼做。

以下,GO~

彈指間,創業已有兩年,累與成果並存,痛並快樂著,自不用多提,應該是這一行從業者的普遍感受了。現在每每反思以往,總結不足,其中一條就是技術團隊過於封閉,悶著頭幹活,發聲不足,既不利於引入別人的好的經驗,也沒法將自身的成果拿出去接受批判,這其實與我們的技術宗旨是不符合的,還是需要擠出時間往外看,向外喊。

什麼是風險

筆者學術時代的老闆是作可信計算的,當年的課題便是信任與風險,所以恰巧也算是國內較早在計算機領域對風險一塊有所涉獵的人之一,當時最頭痛的是,雖然很多人在這些方向都有相關的學術工作,但是對「信任」和」風險「這兩個模糊的概念,從來就沒有清晰公認的定義,大家都是自說自話,概念上都是遷就自己的工作,對信任和風險都有著自己的見解,以至於光綜述里總結的定義就有上百種。

現在工業界也出現了類似的情況,電商已經燒了好些年頭,互聯網金融最近也大火,徵信風控的字眼更是隨處可見,幾番交道打下來,大家基本上還是在風險之上談風險,很少對其本身去作過多的定義和闡述,具體手段也限於傳統金融業經驗往線上的照搬,或者是具體漏洞的補缺,有些像手裡拿著把箭在掃射。

我依然執拗以為,一定要先說清楚自己面對的問題是什麼,才能更加的明白自己在做什麼,做起事來才能有的放矢,不至於陷入被動的攻防戰。 廢話一籮筐,直接給出我個人比較認可的通俗定義,來方便闡述本文後續的概念:

風險 = probability + outcome

這是我看到的一種比較全面的解釋。很多人認為風險是帶來損失的概率,也有很多人覺得風險就是最終帶來的損失。

就好像很多人認為坐汽車風險高(因為車禍幾率高),另一部分人覺得飛機更危險(基本就是掛了),大家的側重點不同。而作為風險相關的從業者,個人認為兩者都需要考慮,所以和很多人一樣,直接做了加法,既包含可能性,也包含潛在的損失。

什麼是風控

風險本身只是人對客觀事實的一個評估,重要的是如何去計算它,之後又如何去用來幫我們實現利益的最大化,這裡給一張簡單抽象的圖來描述所謂的風控邏輯上是一個什麼樣的流程:

這裡面對信任的定義是當年從哲學論文裡面摘出來的,算是相對靠譜的定義:

Trust = knowledge (weak) reduction

簡要的介紹:

1、所謂的信任,就是利用一切可以用的知識(通俗常稱為證據,或者情報等),進行一定的歸納,這些知識包括:

  • 一些常規的檢查工作,主要是做一些身份識別,合規的工作。這種是最常見的。
  • 社交信息,主要是一些關聯信息,可以通過交易、ip、手機號能找到一批其他個體的信息,可以有效的幫助判斷。
  • 歷史行為,被評估者的歷史行為有著極為重要的作用。
  • 上下文,當前交易/活動的具體特徵,對當下的判斷非常重要。
  • 其他信息。

事實上,要做信任判斷還需要很多其他額外的知識。只是越多越準確,那麼所謂的uncertainty就越小,後續的決策才會越準確。 現在一般傳統的就是作一些合規操作,時髦一點的就是在歷史行為和社交信息這一塊大做文章,來彌補傳統方式信息量的不足,還可以標榜「大數據」,我們豈安科技也屬於後者。

2、所謂的風險決策。就是利用收集的信任信息,對所有可能的結果做一個損失(損失是基本客觀存在的)和概率(主要靠信任信息來推斷)的判斷,最終形成一個風險輪廓,來方便決策

3、後續的就好辦了,有了具體的風險輪廓,根據企業的風險承受能力和商業模式作指引,就可以做出相應的決策了。一般而言,如果需要降低風險,需要採取措施去降低風險,或者是損失。以現在流行的p2p舉例,要麼是讓借貸人提供更多的材料去證明他違約的概率比較小;要麼是平台會收取一定比例的擔保費用,來減少違約帶來的損失。

現在的風控系統是啥樣的

對風控的描述比較空泛,只是給出邏輯概念。目前大多數的企業和機構應該都是這麼乾的,只是有的幹得比較好,有的乾的更好而已:

  1. 成熟度。大型、新型的企業會有一整套風控框架,裡面相關的人數量和角色也多,比較成熟;小公司往往投入不足,做法也山寨。
  2. 量化能力。小一點的企業往往只能作到定性分析,就事論事,最後主要靠拍腦袋。牛一點的可以做到定量分析,這樣能有個科學的定義和計算模型,才能腦袋拍得輕些。
  3. 持久性。小一點的企業往往只做當前的case;大一點的公司整個流程是持續迭代的,而且是正反饋的,這樣它整個風控模型就能不斷修正和完善。

至於如何去做一套完善的風控系統,這個領域已經有大量的投入和專家,可以去參考借鑒。我個人的資歷比較有限,只能提供兩個參考:

  1. 如果想從流程上去改善,如果你對類似CMM這樣的成熟度模型感興趣,不放參考Octave(Operationally Critical Threat, Asset, and Vulnerability Evaluation),這同樣是CMU的SEI推出的,目的是提出緩解企業信息安全風險的方法論,它本身不是一套計算機系統,但在流程、理念、邏輯結構、方法論上能有比較好的啟發。
  2. 如果想建一套完善的計算模型,可以參考paypal的架構。paypal應該是互聯網內風控玩的最早最成熟的公司,筆者也有幸成為其國內的第一批開發,學習到很多。這個公司的商業模式就是建立在風控上,所以投入也大,雖然就技術上而言非常保守,但其整體框架絕對值得一提:

上圖是我以前畫過的我印象中P公司是如何處理risk的(依然是簡單概念圖):

  • 最大的投入是通過運營作人工分析,一方面可以更細緻更準確的去處理各種高風險交易;另一方面在於找到了很多新的攻擊,人工標註產生了很多樣本,這點是最關鍵的。
  • 大量的分析師通過數據倉庫去做模型、做規則。最早的時候還沒有hadoop,他們靠商業的teradata來作這件事,算是先驅了。大部分模型、規則也簡單,頂多是logistic regression,勝在數據量大,以及龐大的ops團隊支撐。
  • 相當數量的開發人員,去開發模型需要的數據,從資料庫裡面計算出來,形成統一的變數介面,然後線上的系統就是在不停的跑了。
  • 整個過程是循環的,在線系統標註的高危交易會被繼續人工分析,然後成為新一輪的素材來實現整套風控系統的不斷演化和改進(Ocatave也是提出了類似這種迭代的模型)。
  • 開發、ops、分析師三個角色明確分工,有機結合在一起。這是目前國內大部分公司是很缺乏的。

整套系統裡面每一塊都比較保守,有各自固有的問題,但勝在整個框架很好。體制的優勢決定了其依然是現存的最成功的風控系統,豈安科技的兩大系統(warden和redq)也都是受此影響很多。

然而,以上只是描述了一個有錢公司的成熟系統是啥樣的,現實世界中,只有極少數公司能做到這個程度。很多公司(尤其是中小型互聯網公司)是這樣乾的:

  • 系統的脆弱點比較多,尤其是業務搬遷到互聯網後,暴露點增多。各種漏洞(技術上的和業務上的)層出不窮,黑產業的日益發達也帶來了更多的影響。
  • 資源較少。一些金融相關的可能還好,大部分公司對此投入不足,忙不過來。
  • 可利用的現成的技術少。風控通常是比較複雜和昂貴的,只有大公司用的起,小公司投入不起,往往就是穿個褲衩就要面對各種攻擊了。

上述幾點造成,大部分公司根本沒能力去做詳盡的數據收集和量化計算,也就很難有個成熟的風控模型或是系統去應對互聯網上頻繁出現的攻擊,最終就變成了打地鼠模式:

  • 每當惡意(帶來損失)的事件發生,被動的去應對,而且只能作事後處理
  • 每次事件的處理只能作就事論事的防範。這次一鎚子不能幫你打下一鎚子
  • 量化能力上還是比較難對風險作定量分析,關注的指標只能是命中率(打中多少衰神加分)和誤殺率(打中多少福神扣分)
  • 當帶來風險的主體比較難區分,偽裝的比較好的時候,這鎚子就敲不下去了。比如現在一大危害羊毛黨,很難和正常用戶區分開來,造成無法防範
  • 當風險攻擊來得異常頻繁和快速,鎚子也來不及敲。最近簡訊轟炸的攻擊行為忽然冒起,沒有健壯的風控系統保護,只能素手無策。

這個就是我們感受到的骨感的現實。

報告看點梳理:

①支付行業概況及第三方支付領域發展趨勢概覽

②互聯網支付、銀行卡收單、預付卡發行與受理、行動電話支付四大產業鏈布局解讀

③投資動向及企業資本市場狀態分析

④161家關聯企業介紹及融資信息詳情

第三方支付行業研究報告(附161家關聯企業介紹)

隨著移動支付的飛速發展,中國已經走在全球移動支付行業的頂端,成為最大市場。不僅在中國國內,現在美國、英國、日本、東南亞地區、澳大利亞、北歐眾國都開始紛紛接入移動支付,第三方支付已經踏出國門走向世界,一步步向海外擴張。

第三方支付再迎強監管 合規創新成未來主旋律

中國的第三方支付特指具備一定實力和信譽保障的第三方獨立機構,一般通過和銀行合作的方式,提供交易支持工具和平台,以此實現資金轉移的一種新型支付模式。

目前主要媒介有以互聯網為媒介的互聯網支付和以手機為媒介的移動支付,以及交易量比較小的預付卡支付和銀行卡收單業務。支付工具目前以手機掃描二維碼以及NFC近場支付為主。

「第三方支付」行業相關政策:

2016年10月13日,國務院辦公廳公布的《互聯網金融風險專項整治工作實施方案》《非銀行支付機構風險專項整治工作實施方案》(112號文)

2017年11月13日,中國人民銀行下發的《關於進一步加強無證經營支付業務整治工作的通知》(217號文)

2017年12月21日晚間,中國人民銀行上海總部下發《中國人民銀行關於規範支付創新業務的通知》(281號文)

21日晚最新發布的《通知》主要涉及到八個方面,包括開展支付創新業務應事前報告,維護支付服務市場公平競爭秩序,加強收單業務受理終端管理,規範小微商戶收單業務管理、加強代收業務管理、加強支付業務系統介面管理、嚴格遵守跨行清算政策要求、強化監督管理等。

在此之前金融支付創新往往帶來一定的市場混亂,《通知》發布之後,將對金融支付創新嚴格管控,在合規之下創新將會是未來的主旋律。

支付牌照受限,企業該如何發力?

2011年5月26日,央行頒發了首批第三方支付牌照,自此第三方支付行業進入正規化發展階段。從2015年的3月央行宣布暫停發放第三方支付牌照至目前為止,持有牌照的支付機構總數下降到了僅有247家。

除此之外,近幾個月來央行和網聯的聯合監管打擊也將一部分不合法不合規的第三方支付機構清除出市場。支付行業里的監管力度日趨嚴格,再加上已經有九成的市場被微信和支付寶所霸佔,迫使越來越多的支付機構選擇退出或轉型發展。

冷靜分析自身的資源和優勢,選擇明確的業務方向正成為這個行業的趨勢。支付寶、財付通分別依託淘寶和騰訊龐大的個人客戶群迅速搶佔市場,這無疑給快錢、通聯支付、環迅支付等其他平台帶來了嚴峻的挑戰。

因而,快錢轉向深耕企業端,把為企業打造專業高效的流動資金管理解決方案作為發展的重心。通聯支付則走出了類似銀聯商務的路子,在全國30個省市設立了分公司,大力拓展收單業務;環迅支付則選擇在境外卡收單、行業資金歸集方面發力。

移動支付引領第三方支付發展

我們正步入一個移動支付無所不在的時代,多樣化的移動支付服務將為用戶和商家帶來前所未有的便捷。目前第三方支付牌照分為好幾類,移動支付則是市場主流趨勢。在中國移動支付市場,僅今年第一季度,就有46.2%的移動支付用戶選擇第三方移動支付,由第三方支付引發的變革正在加速。

據《中國支付清算行業運行報告(2017)》數據顯示,2016年,國內商業銀行處理移動支付業務共計257.1億筆,金額達157.55萬億元,同比分別增長85.82%與45.59%。非銀行支付機構處理移動支付業務共計970.51億筆,金額達51.01萬億元,同比分別增長143.47%和132.29%。

另外央行數據顯示,今年第三季度,銀行業金融機構共處理電子支付業務381.35億筆,金額523.47萬億元。其中,網上支付業務120.87億筆,金額439.89萬億元,同比分別增長4.14%和1.37%;移動支付業務97.22億筆,金額49.26萬億元,同比分別增長46.65%和39.42%。

查看完整版報告及161家完整企業介紹請戳鏈接:第三方支付行業研究報告(附161家關聯企業介紹)

同盾,邦盛等,比較知名

推薦閱讀:

為什麼類似拉卡拉、Square 的刷卡器在中國沒有流行起來?實際中都有哪些方面的原因?
為什麼拉卡拉手機刷卡器要 199 元,而類似的快刷(快錢)、樂刷(財付通)等產品卻只要 20-30 元左右?
愛客仕智能收銀機前景怎麼樣?
申請銀行支付介面的具體流程、程序怎麼開發、申請條件、以及與建立一個第三方支付平台的根本區別?
支付的時候總是會遇見這樣的彈出提示框,它存在的意義是什麼?

TAG:第三方支付 |