Конверсия платежных сервисов: анализируй это

В этой статье я хотел бы более подробно рассказать о том, как мы в компании Travel.ru Oktogo Group  собираем и анализируем показатели, влияющие на конверсию платежных решений на сайте.

 В предыдущей статье я обозначил следующие, ключевые, на мой взгляд, показатели эффективности:

1. % успешных оплат:

• Проходимость платежей, или «грязный» % успешных оплат. Это отношение общего числа попыток оплат, завершившихся успешно, к общему числу попыток. Грубый показатель, но он позволяет понять «проблемность» платежного решения по сравнению с другими решениями, реализованными ранее, или работающими параллельно с анализируемым.;
• Конверсия платежей, или «чистый» % успешных оплат.  Это показатель, учитывающий только итоговый результат: был ли заказ оплачен успешно или ни одна из попыток не прошла. В сущности, это и есть та самая конверсия платежного решения, оптимизация которой – наша цель.

2. % неуспешных оплат («грязный»), – это сумма долей всех неуспешных оплат, неудавшихся по разным причинам: от отсутствия средств на счете клиента до транзакций, признанных мошенническими.

Поясню эти термины на таком примере. Допустим, пользователь, оплачивая свой заказ смог это сделать лишь с третьей попытки.

В этом случае:

• проходимость платежей будет 33% (из 3 попыток – 1 успешная)
• конверсия – 100% ( всего 1 заказ – он же 1 оплаченный заказ)
• процент неуспешных оплат – 66% (из 3 попыток – 2 неудачные).

Прежде чем рассказать подробнее о каждом из этих KPI, хочу уточнить, что я подразумеваю в этой статье под термином «платежная транзакция».

Для анализа эффективности платежного решения нас в первую очередь интересуют набор данных авторизационного (первого) запроса в платежный сервис и результат его выполнения. Мы могли бы рассматривать отмены оплат, возвраты, частичные отмены-возвраты, но по большому счету, эти вопросы уже лежат в немного другой области. Поэтому здесь под терминами «успешный платеж» и «успешная платежная транзакция» я имею в виду именно факт успешного получения кода авторизации от платежного провайдера в ответ на запрос интернет-магазина на авторизацию денежных средств по банковской карте и данные.

Как собирать данные?

Сохраняйте все доступные и разрешенные законодательством и стандартами безопасности данные о заказе и пользователе, его совершившем.

Согласно PCI-DSSv2.0 (стандарт безопасности данных индустрии платёжных карт) интернет-сервис может сохранять первые 6 цифр и последние 4 цифры номера карты. Эта информация никак не может быть использована для получения доуступа к средствам клиента,

Некоторые платежные сервисы имеют подключенные базы BIN – Bank Identification Numbers (те самые, первые 6 цифр в номера карты). Они позволяют вам в деталях транзакции видеть информацию о банке, выпустившем карту. Но большинство сервисов, с которыми я сталкивался, такой информации не предоставляют. Поэтому, если вы всерьез решили побороться за эффективность платежей, неплохо приобрести такую базу отдельно.

Если вы используете собственную страницу оплаты или решение внешней страницы оплаты у вашего платежного провайдера позволяет получать эти данные – обязательно сохраняйте, это бесценный материал для дальнейшего анализа.

К сожалению, разные платежные сервисы предоставляют торгово-сервисным предприятиям разный объем и детализацию информации о платежах. Единых стандартов, увы, нет. Поэтому чем больше доступной информации вы сохраните на своей стороне – тем лучше для вас. Единственное, стоит помнить об ограничениях стандарта PCI-DSS, требованиях вашего платежного сервиса, банка-эквайрера и Федерального Закона 152-ФЗ "О персональных данных"‎, чтобы не хранить то, что нельзя.

Проходимость платежей: зачем измеряем?

Что же дает на практике измерение проходимости платежей (соотношение числа успешных оплат к общему числу попыток)?

Пользователь при неуспешной попытке оплаты, как правило, пытается провести оплату снова. Скорее всего, заказ рано или поздно будет оплачен. Но с точки зрения юзабилити, заставлять пользователя несколько раз подряд вбивать данные карты – верный путь к потере клиента. Пользователь уже прошел тернистый путь к странице оплаты на вашем сайте. Стоит задуматься о том, чтобы «расставаться» с деньгами ему было удобно, и чтобы он снова к вам вернулся в будущем.

Низкая проходимость платежей будет свидетельствовать о проблемах в юзабилити платежного решения, из-за которых пользователю не удается оплатить с первой попытки заказ.

Возможно, проблема кроется в форме для ввода данных карты. Распространенные проблемы – незаметное поле для CVC/CVV2 кода либо недостаточно ясная валидация полей, которая не позволяет пользователю до отправки данных карты на сервер самостоятельно убрать опечатки и ошибки.

Злоумышленник, пытающийся методом перебора подобрать «работающую» карту, также будет пытаться совершить несколько попыток оплаты. Поэтому единовременное и значимое снижение проходимости платежей может свидетельствовать о том, что вы стали целью для мошенников. Если вы наблюдаете это в динамике, возможно, пора принимать превентивные меры.

Не знаю, есть ли устоявшийся термин для этого показателя, я называю его «проходимость оплат». Это наиболее быстро и просто собираемая метрика, которую, к тому же, достаточно легко анализировать. Поэтому имеет смысл включить её в ежедневный мониторинг для оперативного решения возникающих проблем. Хочу еще раз подчеркнуть, при сборе этой метрики берется общее число попыток оплаты и то, сколько из них завершилось успехом. Причин, по которым оплата картой не прошла с первой попытки, может быть много. Возможно, это и не ваша вина. Пользователь мог ошибиться в CVC коде, неправильно ввести 3DS, срок действия карты, в конце концов, на балансе счета, к которому привязана карта, может не хватать средств.

Очень важно четко и ясно указывать пользователю, в чем произошла ошибка, чтобы он самостоятельно смог её исправить и в конце концов оплатить сделанный в вашем магазине заказ.

Конверсия платежей и анализ неуспешных оплат

Конверсия платежей показывает, какая доля заказов в конечном итоге была оплачена банковской картой, невзирая на число предшествующих неуспешных попыток. Это и есть подлинный показатель конверсии вашего платежного решения. Очевидно, что следует стремиться к его максимальной величине. Но 100% и даже 99% у вас никогда не будет по объективным причинам: ошибки пользователей, отказы банков, недостаток средств на карте и атаки мошенников, заблокированные антифрод-фильтрами. Удельный вес каждой из этих причин в суммарной статистике неуспешных оплат сильно зависит от конкретного типа e-commerce.

Я бы не советовал в погоне за высокой конверсией платежного решения забывать о реалиях вашего бизнеса. Нужно анализировать неуспешные оплаты, выявлять их причины и проводить сбалансированную политику по минимизации отказов, без рисков несоразмерных финансовых затрат и потерь.

Отправной точкой для анализа неуспешных оплат является «грязный» процент неуспешных оплат, с сегментацией по причинам отказа. Обратите внимание: он измеряется по отношению к числу всех запросов на авторизацию платежной транзакции, а не просто к числу заказов.

Причины неуспешной оплаты одного и того же заказа при нескольких попытках могут быть различными. Например, в первый раз пользователь ошибся при вводе CVC кода, во второй раз банк-эмитент отказал в проведении платежа, а в третий раз заказ все-таки был успешно оплачен. Упуская из вида первые две попытки и удовлетворившись тем, что заказ все-таки был оплачен, вы рискуете не заметить проблемы и потерять этого клиента. Он столкнулся со сложным процессом оплаты, и возможно, не придет к вам больше. А другие клиенты не будут настолько терпеливы, чтобы три раза заполнить платежную форму.

Удельный вес каждого из типов отказов в общей статистике сильно зависит от рода деятельности вашего интернет-предприятия, его целевой аудитории, типичных покупателей, среднего чека. Я покажу, какой Топ-10 получили мы, и расскажу, как можно уменьшить количество ошибок разного типа.

У сервиса онлайн-бронирования отелей, ориентированного на российских самостоятельных путешественников, – своя специфика. В первую очередь, это высокая сумма среднего чека (около 12 тысяч рублей). Поэтому у нас сейчас самая большая доля ошибок приходится на отказы из-за недостаточного баланса на счете клиента. В России до сих пор наиболее распространены дебетовые карты, а кредитные карты зачастую выпускаются с очень небольшим кредитным лимитом.

Борьба с этим типом отказов по понятным причинам затруднена.

Спорный вопрос, стоит ли сообщать пользователю, что транзакция не прошла из-за недостатка средств на его счете. Если по другую сторону экрана находится злоумышленник, пытающийся монетизировать полученные данные украденной карты, таким шагом вы облегчите ему задачу. Кроме того, платежные системы хоть явно и не запрещают такие сообщения в случае интернет-эквайринга, но и не приветствуют. В правилах эквайринга для POS-терминалов прописано, что кассиры не должны допускать повторных транзакций с целью подбора суммы транзакции при сообщении POS-терминала «insufficientfunds» (недостаток средств на счете).

На мой взгляд, есть простой и эффективный способ уменьшить число таких отказов. На странице об ошибке платежа следует косвенно указать пользователю, что, возможно, причина кроется именно в этом. Для этого достаточно сообщения:

«К сожалению, при оплате произошла ошибка. Возможные причины:

• Недостаток средств на счете карты. Обратитесь в банк выпустивший карту.
• Вы ошиблись при заполнении полей карты, внимательно проверьте
• … »

Список ошибок не стоит делать слишком большим. На мой взгляд, стоит включить в него лишь 3-4 наиболее часто встречающиеся ошибки в порядке убывания частоты.

Ошибки, связанные с пользовательским вводом, также не редкость. Их высокий процент, скорее всего, свидетельствует о том, что нужно поработать над юзабилити формы для ввода данных банковской карты. Здесь следует руководствоваться принципом «золотой середины»:

• Не стоит перегружать платежную форму ненужными полями. И тем более не стоит делать их обязательными.
• Не стоит также и излишне минимизировать число полей платежной формы или ставить агрессивные дизайн-эксперименты с ней. Кроме того, у пользователя не должно быть и тени сомнения в надежности и защищенности вашей страницы оплаты, в том, что за ней стоит банк – серьезная финансовая организация. Из этого следует некоторая консервативность дизайна.

Одна из часто встречающихся ошибок – использование готовых скриптов валидации номера банковской карты. Следует внимательно изучить информацию о том, что представляет собой номер банковской карты (PAN) и как его можно расшифровать. К сожалению, в России интернет-эквайринг карт American Express, Diners Club, Discoverer, JCB пока еще не стал массовой услугой. Если ваш поставщик платежного решения не позволяет проводить оплаты при помощи карт этих платёжных систем, следует, во-первых, явно указать список типов карт, которые вы принимаете к оплате (при помощи логотипов этих платежных систем), а во-вторых модифицировать, в соответствии с этими знаниями скрипт валидации номера карты, а также размеры полей формы , т.к. например поле CVC2/CVV2, в картах American Express называется CID и имеет размер 4 символа, а не три как в Visa, MasterCard, Discoverer и JCB. А у Diners Club номер карты состоит из 14 цифр.

Стоит также встроить проверку того, не истек ли срок действия карты.

Важно, чтобы валидация полей платежной формы осуществлялась на клиентской стороне, быстро и информативно для пользователя. В идеале, совершив ошибку, пользователь должен сразу получать сообщение об этом и самостоятельно ее исправлять, не дожидаясь, пока информация уйдет на сервер, будет обработана, и платежный сервис сообщит, что оплата не прошла.

Категоризация ошибок пользовательского ввода, включает как трекинг ошибок самой платежной формы так и  анализ ошибок на основе ответов платежного сервиса. Такое сочетание даст точный и удобный  аналитический инструмент для работы по улучшению юзабилити платежной формы, скриптов валидации, а также для настройки параметров платежного шлюза.

Коротко об антифроде

Серьезные платежные сервисы, как правило, предлагают различные инструменты по настройке правил антифрода, т.е. фильтров, при помощи которых можно идентифицировать транзакции, которые с высокой степенью вероятности приведут к chargebacks – отзывам платежа. Тема настройки антифрода, слишком обширна, поэтому я раскрою её позже в отдельной статье. Сейчас я только хочу отметить, что излишне жесткие настройки, хоть и помогут вам снизить риски потерь от chargebacks, но в то же время создадут проблемы и для некоторых честных клиентов. Они просто не смогут оплатить заказ, либо их платежи будут проходить со значительными сложностями.

Стандартный набор инструментов фильтрации состоит из статических фильтров (так называемых «черных списков») и динамических, или частотных фильтров, которые срабатывают на определенное число событий прошедших за интервал времени.

Очень важно следить за показателями отказов, связанных именно с настройкой антифрод-фильтров. С одной стороны, это поможет вам обновлять и совершенствовать вашу защиту, адаптируя её под новые типы угроз. С другой стороны, вы увидите, у каких фильтров чаще всего происходят ложные срабатывания.

К сожалению, универсальных эффективных настроек нет и быть не может. У каждого интернет-магазина – своя целевая аудитория, со своими паттернами «честного» и «мошеннического» поведения, которые нужно выявлять и моделировать в настройках антифрод-фильтров.

3DS: за и против

Технология 3DSecure продвигается международными платежными системами, как метод защиты от мошеннических транзакций. Разные МПС предлагают ее под разными названиями:

• MasterCard Secure Code
• Verified by Visa
• J/Secure
• American Express Safe Key

Но суть одна. 3DSecure («ThreeDomainAuthenticationModel», трехдоменная модель аутентификации) – это проверка легитимности транзакции при взаимодействии трех участников: банка-эквайера, банка-эмитента и межоперационного сервиса, обеспечивающего инфраструктурное решение.

Технология реализуется в разных платежных системах по-разному. Где-то клиенту приходит одноразовый пароль в виде SMS, где-то используется как SMS, так и постоянный пароль, а некоторые банки используют список заранее выданных клиенту паролей. В результате на проведение оплаты влияет целый набор неблагоприятных факторов. Мобильный телефон может быть выключен, SMS может не прийти, постоянный пароль может быть не установлен или забыт, карточка с одноразовыми паролями может быть утеряна или пароли на ней закончились. В конце концов, неопытный пользователь может просто не знать об этой технологии и не понять, что от него хотят. В таком случае, возможно, он просто ничего не станет вводить в появившуюся у него на экране форму 3DS. В вашей статистике это отобразится как повышение числа ошибок, связанных с непрохождением 3DS по причине истечения времени – 3DSTimeout.

Итак, подключать или не подключать этот вид защиты?

Очевидное преимущество 3DS для интернет-магазина состоит в том, что при прохождении мошеннической транзакции, в том случае, если предприятие запрашивало 3DS, ответственность будет лежать на банке-эмитенте, выпустившем карту. Интернет-магазину не придется возмещать убытки по chargeback.

На другой стороне весов лежат все отклоненные платежи честных покупателей, которые уже протянули вам деньги за ваш товар. Обидная ситуация.

Анализируя операции отказов, связанных с прохождением 3DS, можно выявить конкретные банки и банковские карточные продукты, с которыми возникает больше всего проблем, и уже адресно принимать решения (вот где пригодятся первые 6 цифр номера карты, которые вы сохраняете).

По своему опыту скажу, 3DS действительно, один из самых мощных препятствий на пути повышения конверсий платежей банковскими картами. Несмотря на автоматический перенос ответственности в случае мошеннических операций на банк-эмитент,.

Так что же делать, бросаться отключать 3DS?

Ответ неоднозначный. Если вы не готовы противостоять атакам мошенников без такой мощной защиты, как 3DS, и у вас нет отлаженных бизнес-процессов управления фродом – нет, не стоит. Если стоимость внедрения этих бизнес-процессов при ваших оборотах выше возможных потерь от непрошедших оплат, а риск мошенничества велик, также не стоит.

Если же мы говорим о среднем и большом бизнесе, то обязательно стоит, но не безоглядно, а продуманно, постепенно, постоянно проводя мониторинг.

Chargeback rate: скрытая угроза

И в заключение, о показателе отзыва платежей –  сhargeback rate. В отличие от остальных, он не является показателем «реального времени». О транзакциях, которые превратились для нас в проблему, мы можем узнать далеко не сразу. По правилам международных платежных систем, владелец карты имеет возможность оспорить проведенную по его карте транзакцию в большинстве случаев в течение 120 дней, а в некоторых случаях и позже. Поэтому нередки ситуации, когда за кажущимся успехом в виде повышения конверсии оплат, кроется серьезная проблема, которая «выстрелит» в ближайшем будущем.

Если появилась серьезная брешь в конфигурации антифрод-фильтров, очень вероятно, что вы узнаете об этом с запозданием в два-три месяца. При этом оспоренный платеж будет не один. Злоумышленники, найдя эту брешь в вашей защите, постараются использовать её по максимуму.

Мониторинг этого показателя на самом деле осуществляется и без вашего ведома, самими международными системами. Каждая из них считает его по-своему. Но есть некое общее понимание: в норме сhargeback rate не должен превышать 1%.

Даже упрощенный мониторинг процента оплат, признанных мошенническими, поможет вам избежать неприятных новостей от вашего банка-эквайрера. Ведь рост chargeback rate может привести к санкциям со стороны международных платежных систем ( т.к. мошенническая операция прошла именно через ваш интернет-магазин), таким как отказ в liability shift – том самом «переносе ответственности» для транзакций с 3DS, штрафы и как крайняя мера – отказ от проведения платежных операций из вашего магазина.