POLi’ni mobil casino ilovalariga integratsiyalash: arxitektura, xavfsizlik va UX amaliyotlari

1) Kontekst va cheklovlar

POLi funksionalligi: faqat depozitlar; chiqarish - boshqa usullar (bank-transfer/karta/hamyon) orqali.
Yurisdiksiyalar:

Avstraliya: POLi operatsiyalari tugatildi (2023 yil sentyabr); AU rezidentlari uchun onlayn kazinolar/slotlar taqiqlangan (IGA 2001).
Yangi Zelandiya: POLi litsenziyalangan maydonlarda mavjud; mobil integratsiya aloqador.
Xulosa: quyida - foydalanishga ruxsat berilgan bozorlar uchun texnik sxema (NZ va boshqa qonuniy yurisdiksiyalar).

2) Ulanishning arxitektura variantlari

A. Redirect/Hosted Payment Page (HPP) - bazaviy standart

Mijoz → kassa to’lov sessiyasini yaratadi → bankka redirekt (brauzer/bank-ilova) →’return _ url’bo’yicha qaytarish → vebxuk/polling orqali tasdiqlash.
Ijobiy tomonlari: minimal PCI talablari, barqaror model, kamroq xavflar.
Kamchiliklar: app-switch va qaytarish deeplinkni to’g’ri qayta ishlashga bog’liq.

B. Server-to-Server + redirect (gibrid)

Server POLi provayderida to’lovni yaratadi, mobil mijoz faqat tahrirlashni boshlaydi; yakuniy holat vebxuk orqali keladi.
Afzalliklari: aniq rekonsilatsiya, qulay retralar, orqa tomondagi idempotentlik.
Minuslar: ko’proq server mantig’i.

💡Tahrirsiz to’liq «sof API» amaliy emas: bank autentifikatsiyasi bankka o’tishni talab qiladi.

3) Foydalanuvchi oqimi (mobile UX)

1. Kassa → POLi tanlash.
2. Summani kiritish → toʻlov sessiyasini yaratish (txn\_ id, state/nonce, umr koʻrish muddati).
3. App-switch: bankni ochamiz (yoki internet-bank bilan brauzer).
4. Bankdagi login/2FA → o’tkazmani tasdiqlash.
5. ’return _ url ’/deeplinkni natija ekraniga qaytarish.
6. Bekend vebxukni oladi va depozitni yakunlaydi; mijoz vebxuk kechiktirilgan taqdirda’txn _ id’(pull-tasdiqlash) bo’yicha maqom so’raydi.

4) iOS xususiyatlari

Brauzer qadami uchun ASWebAuthenticationSession yoki SFSafariViewController dan foydalaning; to’g’ridan-to’g’ri WKWebView cookie/tahririyatlar tufayli kamroq mos keladi.
Universal Links для `return_url`; ’scene (_: continue:)’.
Sessiyaning taymautlari 10 daqiqa ≥, fon rejimi majburiy emas, lekin kassa holatini saqlab qolish shart.
Agar bank alohida ilova sifatida ochilsa, qaytarilganda doʻstona back-to-app stsenariysini va qayta maqom olishini taʼminlang.

5) Android-spetsifikasi

Veb oqim uchun Custom Tabs afzal; bank-ilovalar uchun - intent filters va tekshirilgan App Links uchun’return _ url’.
Natijani qayta ishlash - deeplink-aktiviti orqali; ’onResume ()’ bilan qayta maqom soʻrash.
’Activity’ da toʻlov holatini saqlamang; konfiguratsiya oʻzgarishlarini boshdan kechirayotgan ViewModel/repozitoriyadan foydalaning.
Bank/ilova mavjud boʻlmaganda tizim brauzeriga folbek.

6) Integratsiya xavfsizligi

TLS hamma joyda, himoyalanmagan protokollar taqiqlangan. iOS ATS/Android Network Security Config - kiritilgan.
CSRF/Replay-himoya: bir martalik’state ’/’ nonce’, qaytarishda solishtirish.
Idempotentlik: to’lovni yaratish uchun idempotency-key; vebxuklarni qayta ishlash xavfsiz.
Vebxuklar: imzo, belgilangan chiqadigan IP (agar mavjud boʻlsa), eksponensial pauzali retralar, event\_ id dedulikatsiyasi.
Logi: bank loginini/OTRni loging qilmang; PIIni niqoblang; ’txn _ id’, tahrirlash/qaytarish vaqti, maqom kodlarini saqlang.
Root/Jailbreak-signallar: yumshoq ogohlantirish va biznes qoidalari bo’yicha yuqori xavfli operatsiyalar bloki.
Qaytariladigan URLlarni himoya qilish:’return _ url’ning oq roʻyxati provayder va ilova tomonida.

7) Maqomlarga ishlov berish va noto’g "ri chidamlilik

Статусы: `processing` → `succeeded`/`failed`/`unknown`.
Agar foydalanuvchi bank/brauzerni yopsa, «Toʻlovni davom ettirish/Boshqa usulni tanlash» ekranini koʻrsating.
’Unknown’ da: oʻyinchini bloklamang - buyurtmani «kutish» da saqlang, orqa tomonni qayta soʻrang, vebxukni kuting.
Xato kodlarini standartlashtiring (bank mavjud emas, limit, autentifikatsiya, foydalanuvchi tomonidan bekor qilish, taymaut).
Kasrli tasdiqlarni hisobga oling (bank hisobdan chiqargan, sotuvchi hali yangilanmagan) - buni UI da tushuntiring.

8) Rekontsilatsiya va moliya

Kundalik taqqoslash: POLi provayderining hisobotlari (’merchant _ ref’, summa, valyuta, vaqt bo’yicha).
«Rassinxronlarga» alohida navbat; qo’l keyslari - bek-ofis tullingiga.
«Depozitga» bonuslar uchun -’succeeded’dan keyin hisoblash; ’processing ’/’ unknown’ uchun - hold qo’yish.

9) UX-amaliyot kassasi (mobile-first)

Ko’rinadigan taraqqiyot chizig’i va «Bank sessiyasi tugaydi» taymeri...
«Bankka o’tish», «Tasdiqladim - dasturga qaytish» tugmalaridagi aniq nusxa.
Aniq summa/valyuta, rejabgacha bo’lgan limitlarni bir zumda validatsiya qilish.
Depozit loyihasini saqlash; dasturni tiklashda sessiyani qayta ochish.
Foydalanish imkoniyati: VoiceOver/TalkBack-leybllar, yetarli kontrast, Dynamic Type/FontScale.

10) Limitlar, KYC/AML, javobgarlik

Limitlar POLi emas, balki bank va operator tomonidan belgilanadi; to’lov boshlanishidan oldin mavjud bandni ko’rsating.
KYC/AML usuliga bog’liq emas - hajm/chastota tekshiruvi bir xil ishlaydi; yuqori xavflar - qo’lda tekshirish.
Mas’uliyatli o’yin siyosati: depozitlar/pauzalar limitlari POLi da ham mavjud; kassada limit boshqaruviga tezkor havolalar qoʻshing.

11) Hududiy xususiyatlar va jismoniy imtiyozlar

AU: POLi ni ficheflaglar/bild darajasida o’chirib qo’ying; disklaymerni koʻrsating (xizmat mavjud emas; onlayn kazinolar taqiqlangan).
NZ: POLi ga ruxsat berish; banklar/limitlar ro’yxatini konfiguratsiyadan tortib olish (remote config).
Geofensing, valyuta/formatlarni mahalliylashtirish, mamlakat bo’yicha merchantlarning server allow-lists.

12) Test-matritsasi va QA

Banklar: har bir yirik bankka kamida bittadan keys va 2FA (SMS, push, token) turlari bo’yicha.
Platformalar: iOS/Android, dolzarb asosiy versiyalar, qorong’u/yorqin mavzu, turli lokallar/tillar.
Xato stsenariylari: bankda bekor qilish, tugagan sessiya, tarmoqni uzish, webview yopish, notoʻgʻri deeplink, vebxukni takrorlash.
Og’irlik: eng yuqori soatlar, vebxuklarning kechikishlari, ommaviy retralar.

13) Monitoring va operatsiya

Metrikasi: kassa konvertatsiyasi, CTR «Bankka o’tish», o’rtacha’time-to-funds’, ulushi’unknown’, vebxuk retraylarining chastotasi, bankning sabablarga ko’ra ishdan chiqishi.
Alertlar: vebxuk taymaut, bir bankadan’failed’poygasi,’unknown’> chegarasi.
Hodisaning ranbuki: usullarning ustuvorligini o’zgartirish, foydalanuvchilarga xabar berish, fors-polling maqomlari, post-mortem.

14) Integratsiya nima qilmaydi

Pul mablagʻlarini qoʻshmaydi.
Bank yoki operator limitlarini chetlab o’tmaydi.
KYC/AML va mas’uliyatli o’yin protseduralarini almashtirmaydi.

Jami

POLi mobil ilovalarga integratsiyalashuvi xavfsiz redirect/HPP atrofida toʻgʻri app-switch, qaytarish deeplinkini ishonchli qayta ishlash, vebxuklar orqali tasdiqlash va qatʼiy idempotentlik bilan quriladi. Barqarorlikning kaliti - shaffof maqomlar, qayta tiklashning do’stona stsenariylari va to’laqonli rekontsilyatsiya. Avstraliyada POLi mavjud emas va onlayn slotlarga tatbiq etilmaydi; Yangi Zelandiyada usul ishchi bo’lib qoladi va foydalanuvchilarga texnik va huquqiy jihatdan to’g’ri sozlangan holda tezkor depozitlar beradi.