POLi- ს ინტეგრაცია კაზინოს მობილურ პროგრამებში: არქიტექტურა, უსაფრთხოება და UX პრაქტიკა

1) კონტექსტი და შეზღუდვები

ფუნქციონალური POLi: მხოლოდ ანაბრები; დასკვნა - სხვა მეთოდების საშუალებით (გადარიცხვის ბანკი/ბარათი/საფულე).
იურისდიქცია:

ავსტრალია: POLi ოპერაციები შეჩერებულია (2023 წლის სექტემბერი); აკრძალულია ონლაინ კაზინო/სლოტები AU- ს მაცხოვრებლებისთვის (IGA 2001).
ახალი ზელანდია: POLi ხელმისაწვდომია ლიცენზირებულ ადგილებში; მობილური ინტეგრაცია აქტუალურია.
დასკვნა: ქვემოთ მოცემულია ტექნიკური სქემა ბაზრებისთვის, სადაც დაშვებულია გამოყენება (NZ და სხვა იურიდიული იურისდიქციები).

2) არქიტექტურული კავშირის ვარიანტები

A. Redirect/Hosted Payment Page (HPP) - ძირითადი სტანდარტი

ბილეთის ოფისის კლიენტი ქმნის გადახდის სესიას ბანკში (ბრაუზერის/ბანკის განაცხადი) - დაბრუნებას 'return _ urn' - ით, რომელიც დადასტურებულია ვებჰუკის/ნახევრის საშუალებით.
დადებითი: მინიმალური PCI მოთხოვნები, სტაბილური მოდელი, ნაკლები რისკია.
უარყოფითი მხარეები: ეს დამოკიდებულია app-switch- ისა და დაბრუნების deeplink- ის სწორად დამუშავებაზე.

B. Server-to-Server + redirect (ჰიბრიდი)

სერვერი ქმნის გადახდას POLi პროვაიდერისგან, მობილური კლიენტი მხოლოდ იწყებს რედაქციას; საბოლოო სტატუსი მოდის ვებჰუკთან.
უპირატესობები: მკაფიო რეკონსტრუქცია, მოსახერხებელი ჭრილობები, ეკრანზე იდემპოტენტობა.
უარყოფითი მხარეები: უფრო მეტი, ვიდრე სერვერის ლოგიკა.

💡სრული „სუფთა API“ რედაქციის გარეშე არაპრაქტიკულია: საბანკო ავთენტიფიკაცია მოითხოვს ბანკში გადასვლას.

3) მომხმარებლის ნაკადი (მობილური UX)

1. სალარო - არჩევანი POLi.
2. თანხის შემოღება - გადახდის სესიის შექმნა (txn\_ id, state/nonce, სიცოცხლის ხანგრძლივობა).
3. App-switch: ჩვენ ვხსნით ბანკს (ან ბრაუზერს ინტერნეტ ბანკთან).
4. ლოგინი/2FA ბანკში არის თარგმანის დადასტურება.
5. 'return _ urn '/deeplink- ის განაცხადში დაბრუნება შედეგის ეკრანია.
6. Backend იღებს ვებჰუკს და ფინალიზაციას უწევს ანაბარს; კლიენტი ითხოვს სტატუსს 'txn _ id' (pull დადასტურება) ვებჰუკის შეფერხების შემთხვევაში.

4) iOS სპეციფიკა

გამოიყენეთ ASWebAuthentariance Session ან SCAFAFarive Controller ბრაუზერის ნაბიჯისთვის; პირდაპირი WKWebView ნაკლებად შესაფერისია ქუქი-ფაილების/რეციდივების გამო.
Universal Links для `return_url`; დამუშავება 'scene (_: continue:)'.
სხდომის დრო 10 წუთია, ფონის რეჟიმი არ არის სავალდებულო, მაგრამ სალაროს მდგომარეობის შენარჩუნება აუცილებელია.
თუ ბანკი იხსნება, როგორც ცალკე განაცხადი, უზრუნველყეთ მეგობრული უკუკავშირის სცენარი და დაბრუნების დროს სტატუსის ხელახალი მიღება.

5) Android სპეციფიკა

სასურველია Custom Tabs ვებ ნაკადისთვის; საბანკო პროგრამებისთვის - intent filters და დადასტურებული App Links 'return _ urn- ისთვის.
შედეგის დამუშავება - deeplink აქტივების საშუალებით; სტატუსის განმეორებითი მოთხოვნა 'onResume ()'.
ნუ შეინახავთ გადახდის მდგომარეობას „აქტიურობაში“; გამოიყენეთ View Model/საცავი, რომელიც განიცდის კონფიგურაციის ცვლილებებს.
Folback სისტემის ბრაუზერზე, ბანკის/განაცხადის მიუწვდომლობით.

6) ინტეგრაციის უსაფრთხოება

TLS ყველგან, დაუცველი ოქმების აკრძალვა. iOS ATS/Android ქსელის უსაფრთხოების Config - შედის.
CSRF/Replay დაცვა: ერთჯერადი 'სახელმწიფო '/' nonce', დაბრუნების კრიკეტი.
Idempotence: idempotence-key გადახდის შესაქმნელად; ვებჰუკების განმეორებითი დამუშავება უსაფრთხოა.
ვებჰუკი: ხელმოწერა, ფიქსირებული გამავალი IP (თუ ხელმისაწვდომია), ექსპონენციალური პაუზის განმეორება, ღონისძიების/id- ის დადება.
ლოგიკა: ნუ შეაფასებთ საბანკო ლოგინებს/OTR; შენიღბეთ PII; შეინახეთ: 'txn _ id', რედაქციის/დაბრუნების დრო, სტატუსის კოდი.
Root/Jailbreak სიგნალები: რბილი გაფრთხილება და მაღალი რისკის ოპერაციების ბლოკი ბიზნეს წესების შესაბამისად.
დაბრუნების URL დაცვა: თეთრი სია „return _ urn“ პროვაიდერის და განაცხადის მხარეს.

7) სტატუსის დამუშავება და არასწორი წინააღმდეგობა

Статусы: `processing` → `succeeded`/`failed`/`unknown`.
თუ მომხმარებელმა დახურა ბანკი/ბრაუზერი, აჩვენეთ ეკრანი „გააგრძელეთ გადახდა/შეარჩიეთ სხვა მეთოდი“.
'unknown' - ით: ნუ დაბლოკავთ მოთამაშეს - შეუკვეთეთ შეკვეთა „მოლოდინში“, კვლავ გამოიკითხეთ ზურგჩანთა, დაელოდეთ ვებჰუკს.
შეცდომის კოდების სტანდარტიზაცია (ბანკი მიუწვდომელია, ლიმიტი, ავთენტიფიკაცია, მომხმარებლის მიერ გაუქმება, ტაიმუტი).
გაითვალისწინეთ წილადი დადასტურებები (ბანკმა დაწერა, დამნაშავე ჯერ არ განახლდა) - განმარტეთ ეს UI- ში.

8) რეკონსტრუქცია და ფინანსები

ყოველდღიური შერიგება: POLi პროვაიდერის მოხსენებები - თქვენი DD ('merchant _ ref', თანხა, ვალუტა, დრო).
ცალკე ხაზი „რასინქრონებზე“; ხელნაკეთი შემთხვევები - ტულინგის ოფისში.
ბონუსებისთვის „ანაბარზე“ - დარიცხეთ „succeeded“ შემდეგ; 'processing '/' unknown' - დააყენეთ hold.

9) UX სალაროს პრაქტიკა (მობილური პირველი)

პროგრესის აშკარა ზოლი და ტაიმერი „ბანკის სესია ამოიწურება“....
ღილაკებზე მკაფიო ასლი: „ბანკში წასვლა“, „დაადასტურა - განაცხადში დაბრუნება“.
მკაფიო თანხები/ვალუტა, ლიმიტების დაუყოვნებლივი შესაბამისობა რედაქციამდე.
ანაბრის მონახაზის შენარჩუნება; სესიის ხელახალი გახსნა განაცხადის აღდგენის დროს.
ხელმისაწვდომობა: VoiceOver/TalkBack ეტიკეტები, საკმარისი კონტრასტი, Dynamic Type/FontScale.

10) ლიმიტები, KYC/AML, პასუხისმგებლობა

ლიმიტები განსაზღვრავს ბანკს და ოპერატორს და არა POLi; აჩვენეთ ხელმისაწვდომი დიაპაზონი გადახდის დაწყებამდე.
KYC/AML არ არის დამოკიდებული მეთოდზე - მოცულობის/სიხშირის შემოწმება ერთნაირად ხდება; მაღალი რისკები - სახელმძღვანელო გადამოწმება.
საპასუხისმგებლო თამაშის პოლიტიკა: დეპოზიტების/პაუზების შეზღუდვები ასევე ხელმისაწვდომია POLi- ში; დაამატეთ სწრაფი ბმულები სალაროებში ლიმიტების მართვის შესახებ.

11) რეგიონალური მახასიათებლები და ძაფები

AU: გამორთეთ POLi icheflages/bild- ის დონეზე; აჩვენეთ დისკლეიმერი (მომსახურება მიუწვდომელია; აკრძალულია ონლაინ კაზინო).
NZ: დაუშვებელია POLi; ამოიღეთ ბანკების/ლიმიტების სია კონფიგურაციიდან.
გეოფენსინგი, ვალუტის/ფორმატის ლოკალიზაცია, ქვეყნის მასშტაბით მერქნის სერვერული ალოუ-ლისტები.

12) ტესტის მატრიცა და QA

ბანკები: მინიმუმ ერთი შემთხვევა თითოეული დიდი ბანკისთვის და 2FA ტიპებისთვის (SMS, from, ნიშანი).
პლატფორმები: iOS/Android, შესაბამისი ძირითადი ვერსიები, მუქი/ნათელი თემა, სხვადასხვა იდაყვის/ენები.
წარუმატებლობის სცენარები: ბანკში გაუქმება, ამოიწურა სესია, ქსელის რღვევა, ვებვიევის დახურვა, არასწორი დეპლინი, ვებჰუკის განმეორება.
დატვირთვა: პიკის საათი, ვებჰუკების შეფერხება, მასობრივი ჭიდაობა.

13) მონიტორინგი და ოპერაცია

მეტრიკა: ფულადი სახსრების კონვერტაცია, CTR „ბანკში გადასვლა“, საშუალო „დრო-თანხები“, „unknown“ - ის წილი, ვებჰუკის რეაგირების სიხშირე, ბანკის უკმარისობა მიზეზების გამო.
ალერტები: ვებჰუკების ტაიმუტი, ერთი ბანკის 'failed' ზრდა, ზრდა 'unknown'> ბარიერი.
ინციდენტის რანბუკი: მეთოდების პრიორიტეტის გადართვა, მომხმარებლების ინფორმირება, სტატუსის ფორსაჟი, პოსტ-მორტმა.

14) რას არ აკეთებს ინტეგრაცია

არ მატებს სახსრების გატანას.
ბანკის ან ოპერატორის ლიმიტები არ გვერდის ავლით.
არ შეცვლის KYC/AML პროცედურებს და პასუხისმგებელ თამაშს.

შედეგი

POLi- ს მობილურ პროგრამებში ინტეგრაცია შენდება უსაფრთხო redirect/HPP- ით სწორი app-switch- ით, დაბრუნების deeplink- ის საიმედო დამუშავებით, ვებჰუკების საშუალებით დადასტურებით და მკაცრი იდემპტენტობით. სტაბილურობის გასაღებია გამჭვირვალე სტატუსები, მეგობრული აღდგენის სცენარები და სრული რეკონსტრუქცია. ავსტრალიაში POLi არ არის ხელმისაწვდომი და არ გამოიყენება ონლაინ სლოტებში; ახალ ზელანდიაში მეთოდი რჩება სამუშაო და მომხმარებლებს აძლევს სწრაფ დეპოზიტებს სწორი ტექნიკური და სამართლებრივი რეგულირებით.