ВАША СОБСТВЕННАЯ АРХИТЕКТУРА ДАННЫХ
First-party данные и архитектура измерений
sGTM, Conversion API, BigQuery/Snowflake data lake, Consent Mode v2 + TCF 2.2, identity resolution и reverse ETL — инфраструктура данных брендов, побеждающих в мире после третьесторонних cookie, построенная с инженерной дисциплиной с нуля.
Мы входим в эпоху, в которой важен не «закат пикселя», а обязательность владения данными; инфраструктура — это инженерная задача, а не plug-and-play SaaS.
С Consent Mode v2, iOS 17 ATT, изменениями cookie в Chrome и TCF 2.2 сигнал, поступающий на рекламные платформы, в среднем сократился на 40-60 %. Большинство брендов, не замечая этого, выстроили параллельные озёра данных из множества SaaS-инструментов; у каждого инструмента — свой ID, своя интерпретация consent, своя схема событий. First-party операция Roibase устраняет эту фрагментацию через шесть принципов; каждый принцип — это не SaaS, а инженерный стандарт.
Roibase perspective
МЕТОДОЛОГИЯ
AUDIT → DESIGN → DEPLOY → VALIDATE → GOVERN → HANDOFF — инженерная дисциплина
Архитектура данных — это не проект управления тегами, а долгоживущая платформа. Шестиэтапный процесс делает каждое решение задокументированным, тестируемым и передаваемым.
01
01
AUDIT
Аудит текущего client-side GTM, GA4, пикселей, CMP, реализации consent, потоков данных и прозрачности затрат; количественно оцениваются потери сигнала, нарушения consent и дубликаты данных.
02
02
DESIGN
Разрабатываются event taxonomy, стратегия identity, consent policy, архитектура warehouse и data contracts; согласуется со стейкхолдерами (legal, IT, маркетинг, данные).
03
03
DEPLOY
Контейнер sGTM, эндпоинты CAPI, конфигурация Consent Mode v2, стриминг warehouse и dbt-модели выводятся в продакшн; риск снижается blue/green deployment.
04
04
VALIDATE
Старая и новая архитектура работают параллельно через shadow mode + dual tracking; cutover не выполняется, пока event parity не достигнет 99 %+; чек-лист QA — 120+ пунктов.
05
05
GOVERN
Запускаются schema registry, PII tagging, retention, RBAC, audit log и compliance-отчёты; совет по управлению данными собирается с ежемесячной каденцией.
06
06
HANDOFF
Вашей команде — 3 недели hands-on обучения + runbook + 6 месяцев асинхронной поддержки; ротация по критическим алертам и SLA-соглашение передаются в письменном виде.
— СРАВНЕНИЕ
In-house vs SaaS-зависимое агентство vs инженерия данных Roibase
Конкретная разница трёх подходов в плане владения данными, соответствия consent, инженерной глубины и совокупной стоимости.
| Параметр | Минимальный in-house | SaaS-зависимое агентство | Инженерия Roibase |
|---|---|---|---|
| Владение данными | Фрагментировано (у каждого инструмента своя БД) | У SaaS-провайдера | В Вашем собственном warehouse |
| sGTM + CAPI | Частично (только client) | Нет или под управлением вендора | В Вашей инфраструктуре, полное владение |
| Consent Mode v2 + TCF 2.2 | Базовая интеграция | Pre-set CMP, без адаптации | Письменная policy + legal review + тесты |
| Identity resolution | Нет или только email | Vendor black-box | Открытая модель: детерминированный + вероятностный |
| PII governance + audit log | Ad-hoc | Договорный, не операционный | Runbook + ежемесячный compliance-отчёт |
| Data contracts + schema registry | Нет | Зависит от схемы SaaS | Версионируемые, тестируемые, owned |
| Reverse ETL + активация | Ручной CSV | Заперто внутри SaaS | Warehouse-native, свободный выбор |
| Совокупная годовая стоимость | 50-120 тыс. € (фрагментированный SaaS) | 120-250 тыс. € (агентство + лицензии) | 80-180 тыс. € (внедрение + warehouse) |
PROOF
Outcomes, measured
+%45
Восстановление сигнала
Возврат неатрибутированных конверсий после iOS 14+/ATT через sGTM + CAPI.
%94
Уровень соответствия consent
Доля приемлемых состояний consent после внедрения TCF 2.2 + Consent Mode v2.
12
Консолидация инструментов
Типовое число отдельных SaaS-инструментов аналитики/данных, которые удаётся объединить.
€0
Ежемесячная стоимость лицензий на данные
В Вашем собственном warehouse — только стоимость query + storage; никакого SaaS per-seat.
8
Недель на запуск
Типовая дорожная карта для среднего клиента: от аудита до живого shadow mode.
%99.8
Доля доставки событий
Средний показатель успешной доставки событий после dual-path sGTM + CAPI.
WHAT WE DO
Engagement scope
Every offering is an outcome-based work package. Roibase blends strategy and execution inside a single team — no hand-offs.
01 / 10
Server-side GTM (sGTM)
Ваш собственный sGTM-контейнер на Google Cloud Run / AWS Fargate: владение данными у Вас, нет vendor lock-in, нагрузка на клиент снижается; PII redaction выполняется на сервере.
02 / 10
Consent Mode v2 + TCF 2.2
Интеграция CMP, совместимого с IAB TCF 2.2, динамическая отдача сигналов ad_user_data + ad_personalization в зависимости от состояния consent; разграничение «legal basis» по KVKK/GDPR закреплено письменной политикой.
03 / 10
Conversion API (CAPI)
Серверная отправка событий конверсий для Meta, Google, TikTok, Pinterest; hashed PII + event deduplication; восстановление 30-50 % сигнала и совместимость с iOS 14+/ATT.
04 / 10
BigQuery / Snowflake data lake
Стриминг сырых событий + dbt-модели + semantic layer + визуализация в Looker Studio/Metabase/Looker; partition + clustering + cost optimization включены.
05 / 10
Identity resolution
Детерминированный (login, email hash) + вероятностный (device fingerprint, household) identity graph; единый идентификатор пользователя для cross-device journey и cross-channel атрибуции.
06 / 10
CDP readiness
Интеграция Segment / RudderStack / mParticle или линии reverse ETL на базе warehouse-native CDP (Census, Hightouch); выбор CDP — независимая оценка.
07 / 10
Reverse ETL и активация
Автоматическая передача рассчитанных сегментов (churn risk, LTV tier, product affinity) в Meta Custom Audience, Google Customer Match, Klaviyo, HubSpot, Braze.
08 / 10
Перестройка Customer Match
Воссоздание lookalike + retargeting через hashed PII + CAPI; инфраструктура, сохраняющая эффективность рекламных платформ в мире без пикселя.
09 / 10
Schema registry + PII governance
Схемы событий версионируются и поддаются тестированию; PII-поля помечаются, применяются политики retention + masking; контроль качества данных через алерты на schema drift.
10 / 10
Audit log + контроль доступа
Логируется, кто, когда и с какой целью обращался к данным; role-based access control (RBAC), data contracts и ежемесячный compliance-отчёт формируются автоматически.
— ВЫГОДЫ
Конкретная, измеримая отдача от владения данными
First-party архитектура — это не только compliance; это прямой рычаг для эффективности рекламы, понимания клиентов и скорости команды.
+45 % сигнала
Восстановление рекламного сигнала
Через CAPI Meta/Google/TikTok возвращается 30-50 % сигнала; заметно растёт скорость обучения и качество оптимизации платформ.
−52 % SaaS-расходов
Снижение стоимости инструментов
Фрагментированный SaaS-стек консолидируется в единый warehouse + dbt-слой; годовые лицензионные расходы падают на 40-60 %.
+38 % к скорости решений
Скорость команды растёт
С self-serve semantic layer бизнес-юнит сам отвечает на свои вопросы; data-команда переходит из роли «бутылочного горлышка» в роль enabler.
100 % audit-ready
Consent-соответствие задокументировано
Политика TCF 2.2 + Consent Mode v2 + KVKK прошла аудит, поддаётся тестированию; на проверке готов «evidence file».
+28 % к точности атрибуции
Cross-channel journey становится видимым
Identity resolution даёт независимый от устройства/канала пользовательский путь; модели атрибуции и когортные анализы строятся на целостных данных.
Runbook + RACI
Data governance становится поддерживаемым
Schema registry, PII tagging, retention, RBAC, audit log — передаются Вашей команде с runbook + ежемесячным compliance-отчётом.
DELIVERABLES
Конкретные письменные поставки в каждом first-party проекте
Архитектура, код, конфигурация, документация и обучение — каждая поставка версионируется и передаётся Вашей команде.
Отчёт signal audit
Количественная оценка текущих потерь сигнала, нарушений consent и дублирования инструментов, 40-60 страниц.
Event taxonomy и data contracts
Имена, свойства, владельцы всех событий, версия схемы и правила обратной совместимости.
Установка sGTM-контейнера
Живой sGTM на Google Cloud Run / AWS Fargate, blue/green deployment + CI/CD pipeline + план rollback.
Интеграции CAPI
Серверная отправка конверсий для Meta, Google, TikTok, Pinterest; event deduplication + hashed PII + обработка ошибок.
Consent Mode v2 + CMP policy
Конфигурация CMP с поддержкой IAB TCF 2.2, динамические сигналы ad_user_data/ad_personalization, письменная consent policy + legal review.
BigQuery/Snowflake warehouse
Pipeline стриминга сырых событий, partition + clustering, cost optimization, monitoring + alerting.
dbt-модели + semantic layer
Слои staging → intermediate → marts, dbt-тесты, exposures, lineage graph + сайт с документацией.
Pipeline identity resolution
Правила детерминированного + вероятностного сопоставления, household detection, таблица cross-device journey.
Линии reverse ETL
Передача сегментов в Meta CA, Google CM, Klaviyo, HubSpot, Braze через Census/Hightouch; расписание + monitoring.
Schema registry и PII governance
Версионируемые записи схем, PII tagging, политика retention + masking, алерты на schema drift.
Audit log + compliance-отчёт
Конфигурация RBAC, лог доступа к данным, ежемесячный автоматический compliance-отчёт (KVKK/GDPR + рекламные политики).
Runbook + 3-недельное обучение
Операционный runbook, on-call ротация, SLA-соглашение + 3 недели hands-on обучения для Вашей команды.
— ОБЪЁМ
Что мы делаем, а что нет — чёткие границы
First-party архитектура — это инженерная работа; чёткое определение объёма исключает сюрпризы и доплаты.
Делаем
- Signal audit + оценка здоровья consent
- Дизайн event taxonomy + data contracts
- Установка sGTM-контейнера + CI/CD + monitoring
- Интеграции CAPI Meta/Google/TikTok/Pinterest
- Конфигурация Consent Mode v2 + TCF 2.2 + CMP
- BigQuery/Snowflake warehouse + streaming pipeline
- dbt-модели + semantic layer + тесты
- Identity resolution (детерминированный + вероятностный)
- Линии reverse ETL (Census/Hightouch)
- Schema registry + PII governance + audit log
- Координация legal/compliance review
- Runbook + 3 недели hands-on обучения
Не делаем
- Юридические консультации (координируем партнёрского адвоката + policy review)
- Продажи лицензий CDP (даём vendor-agnostic рекомендацию, без комиссий)
- Поддержание фрагментированного SaaS-стека (рекомендуем консолидацию)
- Работа в формате чисто аналитического агентства с пакетным временем (вместо этого — инженерные спринты)
- Гарантированный возврат сигнала «как до пикселя» (даём реалистичный диапазон)
- Лицензии warehouse / счета за облако (остаются на счёте клиента)
- Управление рекламными аккаунтами (отдельный объём с PPC/Growth-командами)
- Plug-and-play SaaS deployment (для каждого клиента — кастомная архитектура)
HOW WE WORK
Первые 8 недель внедрения → 6 месяцев операций — что и когда происходит, задокументировано
01
Недели 1-2: audit + discovery
Аудит текущего GTM/GA4/CMP/пикселей, проверка здоровья consent, интервью со стейкхолдерами, документ с архитектурными требованиями.
02
Недели 3-4: design + data contracts
Event taxonomy, стратегия identity, схема warehouse, consent policy, data contracts — с одобрения legal + IT + маркетинга.
03
Недели 5-6: deploy sGTM + CAPI
Контейнер Cloud Run/Fargate выводится в продакшн; интеграция CAPI Meta/Google/TikTok; запускается shadow mode.
04
Недели 7-8: warehouse + dbt
Streaming pipeline в BigQuery/Snowflake, dbt staging + intermediate + marts, первая версия semantic layer.
05
Недели 9-10: validate + cutover
Тест event parity, чек-лист QA, blue/green cutover; план decommission старой архитектуры.
06
Недели 11-12: govern + handoff
Schema registry, PII tagging, audit log, RBAC; начинается hands-on обучение Вашей команды, передаётся runbook.
07
Месяцы 4-5: активация + оптимизация
Линии reverse ETL, первые сегментные активации, подготовка данных для MMM/attribution, cost optimization.
08
Месяц 6+: steady state + audit
Ежемесячный compliance-отчёт, ежеквартальный совет по data governance, мониторинг schema drift, SLA + on-call ротация.
— НАБОР ИНСТРУМЕНТОВ
Используемые инструменты — vendor-agnostic, но осознанный выбор
Подбираем подходящее под каждого клиента; независимость поддерживаем тем, что не берём комиссий.
SERVER-SIDE TRACKING
Google Tag Manager ServerStape.ioGoogle Cloud RunAWS FargateMeta Conversion APIGoogle Ads Enhanced ConversionsTikTok Events APIPinterest CAPI
CMP & CONSENT
OneTrustCookiebotDidomiUsercentricsGoogle Consent Mode v2IAB TCF 2.2
WAREHOUSE & CDP
BigQuerySnowflakeRedshiftdbt Core/CloudSegmentRudderStackmParticleAmplitude
REVERSE ETL & ACTIVATION
CensusHightouchPolytomicFivetranAirbyteStitchMeta Custom Audience APIGoogle Customer Match API
QUESTIONS
Frequently asked
Три конкретные выгоды: (1) обход ad-blocker + ITP даёт 30-50 % прироста сигнала, (2) владение данными — PII redaction выполняется на сервере, (3) рост скорости загрузки страниц — нагрузка от client-side скриптов снижается. Дополнительно — отсутствует vendor lock-in; вся логика тегов в Вашем облаке.
— ГЛОССАРИЙ
Термины first-party инженерии данных
12 ключевых терминов, дающих общий язык Вашей команде и стейкхолдерам.
- sGTM
- Server-side Google Tag Manager — прокси, который принимает payload браузерного GTM, очищает и обогащает его, затем рассылает в несколько destinations (GA4, Meta CAPI, TikTok и т. д.). Продлевает жизнь cookies, устойчив к adblock и образует основу server-side conversion-API.
- CAPI
- Server-to-server event-API Meta, работающий параллельно с Pixel. Возвращает 20-40 % сигнала конверсии, теряемого в браузере из-за ITP и adblock; для дедупликации в каждом событии нужны event_id и совпадающий timestamp. Основа любого современного paid social-стека.
- Consent Mode v2
- Механизм Google для consent-сигналов, совместимый с TCF 2.2; состояния ad_user_data + ad_personalization.
- TCF 2.2
- Обязательная с 2024 года версия Transparency & Consent Framework IAB Europe. Стандартизирует сигнал согласия между паблишером, vendor и пользователем; CMP (OneTrust, Cookiebot, Didomi) обеспечивают обязательное соответствие совместно с Google Consent Mode v2.
- Identity resolution
- Привязка активности пользователя на разных устройствах и каналах к единому идентификатору; детерминированный + вероятностный.
- CDP
- Customer Data Platform; система, объединяющая профили пользователей и открывающая их каналам активации (Segment, mParticle, warehouse-native).
- Reverse ETL
- Передача данных из warehouse в операционные инструменты (Meta, Google, Klaviyo); типовые вендоры — Census, Hightouch.
- Customer Match
- Использование хешированного first-party-списка (e-mail, телефон, адрес) как аудитории таргетинга/исключения в Google Search, YouTube и Display. База для seed lookalike и win-back; полезен обычно начиная с match rate 30 %+.
- Data warehouse
- Облачное хранилище, в котором лежат сырые и моделированные событийные данные (BigQuery, Snowflake, Redshift, Databricks).
- Event schema
- Письменное, версионируемое определение имён, свойств, типов и владельцев событий; хранится в schema registry.
- PII
- Personally Identifiable Information; данные, идентифицирующие человека (email, телефон, IP, device ID). Управляются через tagging + retention.
- Data governance
- Совокупность дисциплин качества, доступа, управления и compliance данных; стандарт — RBAC + audit log + data contracts.
- GA4 Measurement Protocol
- Server-to-server-протокол, отправляющий события прямо в GA4 по HTTP. Создаёт сигнал конверсии из сред без web-пикселя (CRM, IoT, app-сервер); аутентификация по api_secret + measurement_id, настраивается с учётом Consent Mode.
- Enhanced Conversions
- Слой измерения Google Ads, связывающий конверсию с пользователем через хешированные first-party-данные (e-mail, телефон). Возвращает 3-15 % атрибуции, потерянной из-за ITP и распада cookies; есть варианты для web и lead-form.
- Offline Conversions
- Процесс возврата в рекламную платформу конверсий, случившихся в CRM (lead-to-sale, закрытие в звонке, визит в магазин), через click ID (gclid/wbraid/fbclid). Самый надёжный способ кормить tROAS реальной выручкой.
- First-party Data
- Данные, которые бренд собирает напрямую со своих площадок (web, app, CRM, call-центр, e-mail, программа лояльности) с согласия пользователя. Самое надёжное топливо performance-маркетинга после ухода third-party cookies; хешируется и активируется в рекламных платформах.
- Data Clean Room
- Защищённая среда вычислений, в которой две стороны (бренд + медиа-платформа) делают match и агрегацию, не открывая друг другу сырые PII. Google Ads Data Hub, Amazon AMC, clean rooms на Snowflake/Databricks — overlap-анализ, атрибуция и построение аудиторий.
- Identity Graph
- Реляционный граф, связывающий одного человека по его устройствам, e-mail, телефону, платёжному идентификатору и хешированным ID. Основа cross-device-атрибуции, моделей retention и качества LAL-seed — сердце CDP.
- First-party Cookies
- Cookies, которые ставит собственный домен сайта и которые отправляются только в его запросах. После блокировки third-party ITP укоротил и эту категорию — server-side cookie setting + политика ротации от 1 года стали обязательными.
- Server-side Events
- События конверсии, отправляемые в рекламную платформу по API не из браузера, а с собственного сервера (sGTM, ваш бэкенд). Не подвержены adblock и браузерным ограничениям; работают по спецификациям CAPI (Meta), GA4 MP, TikTok Events API.
- Hashed PII
- Персонально-идентифицирующее значение (e-mail, телефон, ФИО), зафиксированное односторонней криптофункцией (обычно SHA-256). Обязательно для match, загрузки custom audience и Enhanced Conversions в рекламных платформах — требование privacy и compliance.
- Privacy Sandbox
- Набор API Google в Chrome для рекламного измерения, ретаргетинга и борьбы с фродом без third-party cookies: Topics, Protected Audience (FLEDGE), Attribution Reporting. Google-сторона будущего без cookies.
- CORS (Cross-Origin Resource Sharing)
- Браузерный механизм безопасности, требующий от сервера явно разрешить fetch/XHR-запросы между origin. Управляется заголовками Access-Control-Allow-*; неверная настройка — самый частый баг интеграции с SaaS API.
- CSP (Content Security Policy)
- HTTP-заголовок, объявляющий, из каких источников страница может грузить скрипты, стили, изображения и iframe. Самая сильная браузерная защита от XSS; nonce + strict-dynamic — современная практика, плюс report-uri/report-to для мониторинга.
- TLS / SSL
- Протокол, шифрующий весь трафик между клиентом и сервером и подтверждающий сервер сертификатом. Слой под HTTPS; современный стандарт — TLS 1.3, Let's Encrypt даёт бесплатные сертификаты, заголовок HSTS обязателен.
- Zero-Trust
- Модель безопасности, не доверяющая никакому сетевому расположению и заново аутентифицирующая и авторизующая каждый запрос на основе пользователя + устройства + контекста. Современная альтернатива VPN; строится на BeyondCorp, Cloudflare Access, Tailscale.
- AWS IAM (Identity and Access Management)
- Auth-слой AWS, отвечающий на вопрос "кто что может сделать с каким сервисом". Иерархия User/Group/Role/Policy; принцип least-privilege; SCP (Service Control Policy) — guardrail на уровне организации; фундамент безопасности любого AWS-нагрузки.
- OWASP Top 10
- Ежегодно обновляемый OWASP список десяти самых критичных рисков безопасности веб-приложений. В редакции 2021 лидируют Broken Access Control, Cryptographic Failures, Injection и Insecure Design. Индустриальный стандарт для self-assessment по безопасности.
- SQL Injection
- Классическая web-уязвимость: атакующий вставляет SQL-фрагменты во входные поля и манипулирует запросами к БД. Приводит к обходу логина, полному dump'у БД, атакам уровня DROP TABLE. Лечение — параметризованные запросы / prepared statement или ORM.
- XSS (Cross-Site Scripting)
- Атакующий внедряет вредоносный JavaScript в веб-страницу, и тот выполняется в браузере жертвы. Три типа: Reflected, Stored, DOM-based — ведут к краже cookie и session hijacking. Защита: escape вывода, CSP-заголовки, HttpOnly + SameSite cookie.
- CSRF (Cross-Site Request Forgery)
- Атака, использующая аутентифицированную сессию жертвы для нежелательных действий. Атакующий с другого сайта заставляет браузер жертвы автоматически отправить форму в её банк. Защита: anti-CSRF токен, cookie SameSite=Lax/Strict, паттерн double-submit cookie.
- Clickjacking
- Атакующий накладывает целевой сайт прозрачным iframe поверх своей страницы и заставляет пользователя кликнуть на невидимые кнопки — лайки, переводы, выдача прав происходят без согласия. Защита: X-Frame-Options: DENY или CSP-заголовок frame-ancestors.
- MITM (Man-in-the-Middle)
- Атака с перехватом или модификацией коммуникации между двумя сторонами. Типичные векторы: открытый Wi-Fi, поддельные сертификаты, ARP spoofing. Митигация — HTTPS, HSTS preload, certificate pinning, DNS over HTTPS (DoH).
- Certificate Pinning
- Mobile/desktop-приложение принимает только конкретный публичный ключ сертификата сервера (или CA). Даже если атакующий установит поддельный CA на устройство, приложение его не примет. Одна из сильнейших защит от MITM, но ротация ключей усложняется.
- MFA / 2FA (Multi-Factor Authentication)
- Метод auth, требующий второго фактора подтверждения помимо пароля. Факторы: что знаешь (пароль), что имеешь (телефон, hardware-key), кем являешься (биометрия). SMS слабее; TOTP (Authenticator), push-уведомления и FIDO2/WebAuthn — современный выбор.
- SSO (Single Sign-On)
- Один вход открывает доступ к нескольким связанным приложениям. Основные протоколы — SAML 2.0 (enterprise) и OIDC (современный web/mobile); типичные IdP — Okta, Azure AD, Google Workspace. Улучшает UX и даёт IT централизованный user-lifecycle.
- SAML 2.0
- Legacy-стандарт enterprise-SSO на базе XML (2005). Передаёт authentication assertion от IdP (Okta, ADFS) к Service Provider через browser POST или redirect binding. По-прежнему стандарт в современных SaaS, но новые проекты всё чаще выбирают OIDC.
- OIDC (OpenID Connect)
- Слой идентификации поверх OAuth 2.0. Добавляет ID-токен (JWT) к access-токену; технология за "Sign in with Google/Apple/Microsoft". На JSON, дружественный к mobile/SPA и более современный, чем SAML.
- JWT (JSON Web Token)
- Переносимый подписанный токен identity/authorization в формате Header.Payload.Signature. Используется в stateless-сессиях, передаче identity между микросервисами и формате ID-токена OIDC. Best practice: короткий access + длинный refresh; RS256/ES256 предпочтительнее HS256.
- Security Headers
- HTTP response-заголовки, передающие правила безопасности браузеру: Strict-Transport-Security (HSTS), Content-Security-Policy (CSP), X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Правильная настройка резко снижает риски XSS, MITM и sniffing.
- WAF (Web Application Firewall)
- Слой безопасности, инспектирующий трафик OSI Layer-7 и блокирующий SQL injection, XSS, RCE и бот-атаки. Основные продукты: Cloudflare WAF, AWS WAF, Imperva, F5; сочетают managed rule-set'ы с кастомными правилами и rate limiting.
- Penetration Testing (Pentest)
- Контролируемый security-аудит, проверяющий защиту системы с менталитетом реального атакующего. Подходы: black-box, gray-box, white-box; scope: web-app, mobile, сеть, social engineering. Результат — приоритизированный список находок + retest исправлений.
- Bug Bounty
- Программа, в которой компания платит внешним исследователям деньги за найденные уязвимости. Через HackerOne, Bugcrowd или self-hosted; scope, правила и уровни вознаграждения публикуются открыто. Эффект — постоянное pentest-давление.
- Zero Trust
- Подход "не доверяй по умолчанию никому и никакой сети — проверяй каждый запрос". Заменяет классическую модель castle-and-moat на access на основе identity, посту́ры устройства и контекста. Ключевые примеры — BeyondCorp, Cloudflare Access, Zscaler.
- DDoS (Distributed Denial of Service)
- Атака, заваливающая целевой сервис трафиком одновременно с тысяч скомпрометированных устройств. Варианты: volumetric (заполнение полосы), protocol (SYN flood), application-layer (HTTP flood). Основная защита — anycast-сети Cloudflare, AWS Shield, Akamai.
- Secrets Management
- Централизованное, аудируемое и ротируемое хранение чувствительных значений — API-ключей, паролей БД, сертификатов, OAuth client secret. HashiCorp Vault, AWS Secrets Manager, Doppler и 1Password Secrets — стандартные инструменты; конец привычке коммитить .env в Git.
- Prompt Injection
- Атака, в которой атакующий вставляет скрытые инструкции в пользовательский или tool-input, заставляя LLM игнорировать system prompt — напр. "Забудь все предыдущие инструкции и…". XSS LLM-приложений; защита — многослойная санитизация input, фильтрация output и sandbox.
- LLM Jailbreak
- Попытка обойти встроенные правила безопасности модели (отказ от вредного контента, неразглашение system prompt и т.д.). Типичные техники: DAN, "grandma exploit", roleplay-формулировки, encoding-трюки, multi-turn манипуляция. Поверхность, которую red-team'ы постоянно стресс-тестируют.
- GDPR (General Data Protection Regulation)
- Регламент ЕС о защите данных, действует с 2018. Явное согласие, минимизация данных, права на доступ / удаление, уведомление о breach в 72 часа, штрафы до 4 % глобальной выручки или 20 млн EUR. Обязателен для всех, кто ведёт бизнес с ЕС.
- CCPA / CPRA
- California Consumer Privacy Act (2020) и его расширение CPRA (2023). Жителям Калифорнии даёт право знать, право на удаление и opt-out "Do Not Sell or Share". В отсутствие федерального закона — де-факто стандарт US privacy; другие законы штатов (Virginia VCDPA, Colorado CPA) на него ссылаются.
- LGPD (Lei Geral de Proteção de Dados)
- Бразильский закон о защите данных, аналогичный GDPR, в силе с 2020. Контролирует ANPD; 9 прав субъекта данных, явное согласие, обязательный DPO. Штрафы: до 2 % выручки за нарушение, максимум 50 млн BRL.
- KVKK (Турция)
- Турецкий закон о защите персональных данных № 6698, принят в 2016. Контролирует Совет KVKK; реестр VERBİS, явное согласие, 11 прав субъекта данных, требование adequacy для трансграничных передач. Соответствует GDPR, в ряде пунктов строже.
- DSA (Digital Services Act)
- Регулирование ЕС крупных платформ, полностью вступило в силу в 2024. Для VLOP (Very Large Online Platforms, 45 млн+ пользователей в ЕС — Meta, Google, TikTok…): ежегодная оценка рисков, отслеживание незаконного контента, алгоритмическая прозрачность, запрет dark pattern'ов. Штрафы до 6 % глобальной выручки.
- DMA (Digital Markets Act)
- Правило конкуренции ЕС, нацеленное на платформы-"gatekeeper" (Apple, Google, Meta, Microsoft, Amazon, ByteDance, Booking) с 2024. Требует сторонние app store, выбор browser engine, interoperability мессенджеров и запрещает self-preferencing. Из-за DMA iOS открыл side-loading в ЕС.
- ePrivacy Directive ("Cookie Law")
- Директива ЕС 2002 (обновление 2009) — первое требование явного consent на cookie и трекеры. До сих пор действует как дополнение к GDPR; правовой источник cookie-баннеров на EU-сайтах. Преемник ePrivacy Regulation всё ещё обсуждается.
- FLEDGE / Protected Audience API
- API Google Privacy Sandbox, призванный сохранить remarketing после исчезновения third-party cookie. Interest groups хранятся в браузере, аукцион тоже идёт в браузере, IP/ID не утекают. По умолчанию в Chrome 109+, тестирование IAB продолжается.
- Topics API
- Преемник FLoC в Google Privacy Sandbox (2023). Браузер выводит из истории посещений 5 "topic" в неделю (напр. /Sports/Soccer); рекламодателю показывается случайный сабсет. Цель — сопоставление интересов без cross-site tracking.
- CHIPS (Cookies Having Independent Partitioned State)
- Технология Chrome, разделяющая третьесторонние cookie на партиции по сайту. Cookie встраиваемого виджета теперь изолирована per top-site; cross-site tracking невозможен, in-site state сохраняется. Реализуется добавлением атрибута Partitioned в Set-Cookie.
- SKAdNetwork (Apple)
- iOS-фреймворк Apple для рекламной атрибуции без IDFA. Даёт детерминированный match между ad-network и кликом, приведшим к install; conversion value 0-63 и агрегированные postback через 24 часа. Стандарт mobile-ad экосистемы после ATT.
- ATT (App Tracking Transparency)
- Фича Apple, выпущенная в iOS 14.5 (2021), запрещающая приложениям доступ к IDFA без системного диалога "Allow / Ask Not to Track". Около 75 % пользователей выбрали opt-out; индустрия mobile attribution фундаментально изменилась и сместилась к SKAdNetwork.
- IDFA / GAID
- IDFA (Identifier for Advertisers, iOS) и GAID (Google Advertising ID, Android) — рекламные идентификаторы, привязанные к устройству и сбрасываемые пользователем. До ATT — основа mobile attribution; сегодня GAID активен в Android, а IDFA переведён в opt-in модель.
- OpenRTB
- Открытый протокол IAB, стандартизирующий programmatic-покупку/продажу display и video рекламы. Описывает JSON bid request, bid response и win notice между SSP и DSP; v2.6 (2024) добавляет audio, CTV и identity-решения. Техническая основа header bidding и PMP.
- Prebid.js
- Самая распространённая open-source header-bidding библиотека. На странице паблишера до вызова ad-server (GAM) она параллельно отправляет bid request в 10+ SSP; выигрывает максимальная ставка. Подняла eCPM паблишеров на 20-50 % и сделала programmatic-экосистему прозрачнее — революция.
- Cookie Consent Banner
- Привычный для современного веба баннер "Принимаете ли вы cookie?" при загрузке сайта. Требование ePrivacy + GDPR; "Reject All" должен быть так же прост, согласие — гранулярным по категориям. Основные CMP — CookieYes, OneTrust, Cookiebot.
- CMP (Consent Management Platform)
- Платформа, собирающая, хранящая и распространяющая по сайту user consent. Интегрируется с IAB TCF v2.2 и сообщает третьим вендорам через consent string. Распространены OneTrust, TrustArc, CookieYes, Cookiebot, Iubenda; обязательный элемент современного privacy-стека.
- IAB TCF v2.2 (Transparency & Consent Framework)
- Стандарт IAB Europe для обмена consent между adtech-вендорами на рынке ЕС. Бинарная consent string кодирует, какие из 12 purpose и каких из 1 000+ вендоров одобрил пользователь; переносится CMP→SSP→DSP. v2.2 (2023) уточнила гранулярность "purpose 1: device storage".
- DSAR (Data Subject Access Request)
- По GDPR Art. 15 / KVKK / CCPA — право человека получить в течение 30 дней документированный ответ "какие данные у вас обо мне и с кем вы ими делились?". DSAR-портал, runbook и автоматизированный pipeline извлечения данных — обязательные части современной privacy-программы.
- Privacy by Design
- Семь принципов Энн Кавукян (1995, встроены в GDPR ст. 25): будь проактивен, default — privacy-friendly, проектируй системы privacy-first, end-to-end шифрование, защита по всему lifecycle, прозрачность, уважение к пользователю. Этическая основа современной security-архитектуры.
- Right to be Forgotten
- Статья 17 GDPR — право человека требовать удаления своих персональных данных. При отсутствии правового основания компания должна удалить в течение 30 дней — включая бэкапы, логи и third-party вендоров. Решением Суда ЕС Costeja 2014 распространено и на результаты поиска Google.
- SPF (Sender Policy Framework)
- Anti-spoofing стандарт в DNS TXT, перечисляющий IP, которым разрешено отправлять почту от домена. Пример: v=spf1 include:_spf.mailgun.org -all. Принимающий MTA сверяет IP отправителя с SPF; при failure — spam folder или отказ.
- DKIM (DomainKeys Identified Mail)
- Стандарт, подтверждающий подлинность письма через криптографическую подпись отправляющего домена. К письму добавляется заголовок DKIM-Signature; получатель проверяет её по публичному ключу в DNS. Вторая нога современной email-аутентификации наряду с SPF.
- DMARC (Domain-based Message Authentication, Reporting & Conformance)
- Стандарт, объединяющий SPF + DKIM и позволяющий владельцу домена задать, что делать при failure аутентификации. Политика p=none / quarantine / reject; rua=mailto:dmarc@… агрегирует отчёты. С 2024 обязателен для bulk-отправителей в Gmail/Yahoo.
- BIMI (Brand Indicators for Message Identification)
- Стандарт, показывающий логотип бренда отправителя рядом со строкой "from" в Gmail/Yahoo-инбоксах при условии DMARC enforcement домена. Требует SVG Tiny логотип и VMC (Verified Mark Certificate); поддержка mailbox растёт с 2023. Open rate +3-15 %.
- CAN-SPAM (закон США об email)
- Закон США 2003 года с обязательными правилами для коммерческих писем: никаких вводящих в заблуждение header/subject, чёткий opt-out линк, физический почтовый адрес в теле письма, обработка opt-out в 10 дней. Штрафы до 51K $ за нарушение. Режим opt-out — в отличие от GDPR, opt-in не требуется.
- CBDC (Central Bank Digital Currency)
- Цифровой токен, эмитируемый центральным банком и обладающий статусом законного платёжного средства. Sand Dollar (Багамы), eNaira (Нигерия), e-CNY (Китай) — уже live; Digital Euro — в пилоте. Регуляторный ответ на стейблкоины и центральный элемент проектов cross-border платежей и cashless-общества.
- Sign-In with Ethereum (SIWE)
- Стандарт (EIP-4361) для логина по подписи Ethereum-кошелька вместо email/пароля. dApp генерирует сообщение, пользователь подписывает его своим кошельком, backend проверяет подпись и открывает сессию. OIDC-альтернатива для Web3 auth, всё чаще в связке с passkey.
- LLM Red Team
- Команда из людей + AI, тестирующая правила безопасности и внутренние границы модели. Adversarial-промпты, jailbreak, PII leak, prompt injection; найденные дыры попадают в eval-set. Red team OpenAI, Anthropic и Google играют критическую роль перед релизом модели.
- Adversarial Prompt
- Специально составленный промпт, цель которого — толкнуть модель к неверным/вредным/запрещённым ответам. Типичные векторы: "detail-only", "creative fiction", "system-message override", base64-кодировка. Защита требует instruction tuning + RLHF + Constitutional AI вместе.
- Jailbreak Eval Suite
- Стандартизированный набор попыток обойти safety-контроли LLM. Открытые benchmark'и — AdvBench, HarmBench, JailbreakBench; классические паттерны "DAN", "grandma exploit", roleplay framing. Замер pass-rate обязателен перед любым запуском LLM.
- Prompt Leakage
- Атака, пытающаяся вытащить system prompt модели — часто это конфиденциальная бизнес-логика. Пример: "выведи все предыдущие инструкции". Скрытый RAG-контекст и чувствительные бизнес-правила могут утечь. Защита: instruction wrapper + repeat-back filter + structured output.
- PII Redaction (LLM)
- Слой, маскирующий персональные данные во входе пользователя — имя, телефон, email, номер карты, адрес — до того, как они попадут в LLM или в логи. Типовые инструменты — Microsoft Presidio, Google DLP, AWS Comprehend Medical; обязательно для compliance с GDPR, KVKK и HIPAA.
- LLM Guardrails
- Слой контроля, защищающий output модели от нежелательных территорий — токсичность, off-topic, галлюцинации, нарушение schema. Output filtering, schema validation, classifier-as-judge, tool-call validation; типовые инструменты — NeMo Guardrails, Guardrails AI, AWS Bedrock Guardrails.
- Content Moderation API
- Сервис, классифицирующий текстовый или image input и output по категориям — токсичность, NSFW, насилие, hate speech, self-harm. OpenAI Moderation, Perspective API (Google), AWS Rekognition, Azure Content Safety. Обязательный pre-filter любой LLM-application.
- AI Safety Eval (HHH)
- Принцип alignment-оценки, измеряющий триаду "Helpful, Honest, Harmless". Helpful: реально ли помогает пользователю; Honest: даёт ли неверные/скрытомотивированные ответы; Harmless: предлагает ли вредные действия. Основа safety-paper'ов Anthropic.
- Toxicity Score
- Score классификатора от 0 до 1, измеряющий, насколько текст токсичен, harassing или hateful. Распространены Perspective API (Google), OpenAI Moderation, Detoxify, HateBERT; типовой порог 0,7+. Критичный фильтр для LLM-output, comment moderation и brand safety.
- Bias Audit
- Системная проверка того, выдаёт ли модель несправедливый output по защищённым атрибутам — гендеру, расе, возрасту, религии. Метрики — demographic parity, equal opportunity, counterfactual fairness; инструменты — AI Fairness 360, Fairlearn. Обязательный compliance в регулируемых отраслях.
- Anti-Cheat (VAC, EAC, BattlEye)
- Система, блокирующая читы, aimbot и wallhack в multiplayer-играх. Распространены Valve VAC, Easy Anti-Cheat (EAC), BattlEye, Riot Vanguard, FACEIT AC; kernel-уровень доступа подпитывает дебаты security vs privacy. Предотвращение читов не имеет потолка, но плохая реализация разрушает UX.
- SOC (Security Operations Center)
- Команда 24/7 + инфраструктура, наблюдающая за событиями безопасности и реагирующая на них. Структура — Tier 1 (alert triage), Tier 2 (глубокое расследование), Tier 3 (threat hunter, forensics); общий toolset — SIEM, EDR, SOAR. Современные enterprise держат внутренний SOC из 100+ человек или отдают на MSSP.
- SIEM (Security Information & Event Management)
- Платформа, централизованно собирающая логи и security-события и срабатывающая алертами по корреляционным правилам. Лидеры — Splunk, IBM QRadar, Microsoft Sentinel, Elastic SIEM, Sumo Logic; отвечает на "кто что сделал" и "какая аномалия" — сердце современного SOC.
- EDR (Endpoint Detection & Response)
- Платформа real-time детектирования malware, ransomware и lateral movement + response на ноутбуках сотрудников, серверах и mobile-endpoint. Лидеры — CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Carbon Black, Sophos Intercept X. Преемник классического антивируса.
- XDR (Extended Detection & Response)
- Преемник EDR, дополнительно объединяющий сигналы сети, email, cloud и identity. Превращает siloed-алерты за пределами endpoint в единый коррелированный обзор; лидеры — Palo Alto Cortex XDR, Microsoft Defender XDR, Trellix, SentinelOne Singularity. Снижает число тикетов на SOC-аналитика в 5-10×.
- SOAR (Security Orchestration, Automation & Response)
- Оркестрационная платформа, запускающая автоматические playbook после алертов SIEM — "заблокировать IP", "изолировать endpoint", "сбросить пароль" и другие реакции из 100+ шагов. Лидеры — Splunk SOAR, Palo Alto XSOAR, Tines, Torq; снижает нагрузку Tier 1 SOC на 60 %+.
- Threat Intelligence
- Дисциплина, поставляющая знания об активных threat-actor, их тактиках и IoC (indicators of compromise — IP, хеши, домены). Recorded Future, Mandiant, CrowdStrike Intel, OTX и MISP дают feed'ы, вкачиваемые в SIEM; отвечают на вопрос "затрагивает ли нас эта утечка?".
- CVE (Common Vulnerabilities & Exposures)
- Публичный каталог идентификаторов security-уязвимостей, который ведёт MITRE — например CVE-2024-12345. Каждая запись связана с vendor-патчем, деталями эксплоита и затронутыми версиями, и получает CVSS-score. Атомарная единица любой программы vulnerability management.
- CVSS (Common Vulnerability Scoring System)
- Стандартная система (поддерживается FIRST.org), оценивающая серьёзность уязвимости от 0,0 до 10,0. Слои — Base Score (exploitability + impact), Temporal, Environmental; 9,0+ Critical, 7,0-8,9 High, 4,0-6,9 Medium. Основа приоритезации патчей.
- NIST CSF (Cybersecurity Framework)
- Фреймворк, опубликованный NIST в 2014, организующий кибербезопасность в пять функций — Identify, Protect, Detect, Respond, Recover. Версия 2.0 (2024) добавила Govern. Самый распространённый референс в федеральных США и глобальных enterprise.
- ISO 27001
- Международный стандарт для Information Security Management System (ISMS). Risk assessment + 93 контроля (Annex A) + цикл непрерывного улучшения; внешний аудит каждые 3 года + ежегодный surveillance. Must-have для B2B-продаж SaaS и способ доказать соответствие GDPR и KVKK.
- SOC 2
- Аудит-отчёт, разработанный AICPA для SaaS-компаний. На Trust Services Criteria: Security (обязательно), Availability, Processing Integrity, Confidentiality, Privacy. Type 1 — point-in-time, Type 2 — 6-12 месяцев операционных evidence. Ключ к enterprise-продажам в США.
- CIS Controls
- Набор из 18 самых критичных контролей кибербезопасности от Center for Internet Security (ранее SANS Top 20). Имплементационные tier — IG1 (small), IG2 (mid), IG3 (large) — закрывают практические действия: asset inventory, MFA, phishing awareness. Операционная карта NIST CSF.
- MITRE ATT&CK Framework
- Открытая knowledge base MITRE, каталогизирующая реальные TTP атакующих — Tactics, Techniques, Procedures. 14 тактик от Initial Access → Execution → Persistence → … → Impact, под ними 600+ техник. Эталон для red-team сценариев, написания detection-правил и threat-intel alignment.
- Zero-Day Exploit
- Уязвимость в ПО, о которой вендор ещё не знает (0 дней с момента patch), и эксплоит, её использующий. Стоит миллионы на bug-bounty и dark-web рынках; оружие APT-групп, государственных акторов и spyware вроде Pegasus. Защита — defense-in-depth, EDR, virtual patching.
- Supply Chain Attack
- Атака на цель не напрямую, а через ПО, компоненты или вендоров, которые она использует. Поучительные примеры: SolarWinds Orion (2020), Kaseya (2021), MOVEit Transfer (2023), 3CX (2023). Один компрометированный вендор может задеть 18K+ клиентов; SBOM + подписанные артефакты + SLSA — стандартная защита.
- Ransomware
- Вредонос, шифрующий файлы жертвы и требующий выкуп за ключ дешифровки. Современная "double extortion" дополнительно угрожает публикацией файлов в dark web. LockBit, BlackCat (ALPHV), Conti, Ryuk печально известны; в 2024 средний выкуп — $2 млн, средний downtime — 21 день.
- Phishing / Spear Phishing / Whaling
- Атаки кражи credentials/данных через поддельные email/SMS/страницы. Phishing: массовый, generic; spear phishing: целевой (конкретный человек/компания); whaling: цель — CEO, CFO, старшие руководители. AI-сгенерированный phishing в 2024 вырос на 1500 %; защита — DMARC + email-security-gateway + awareness-training.
- Credential Stuffing
- Атака, при которой пары логин/пароль из чужих утечек автоматически перебираются на других сайтах для захвата аккаунтов. Bot-driven, миллионы запросов в секунду; HaveIBeenPwned отслеживает 13+ млрд утёкших записей. Защита — rate limiting, CAPTCHA, MFA, уникальные пароли с password manager.
- Brute Force Attack
- Систематический перебор комбинаций паролей. Две формы: online (против живого логина) и offline (против hash dump). Инструменты — GPU + словари + rule-based движки (Hashcat, John the Ripper); top GPU 2024 даёт 600 млрд hash/сек. Защита — длинные passphrase + bcrypt/scrypt/argon2.
- UEBA (User & Entity Behavior Analytics)
- Слой security-analytics, который через ML учит паттерны поведения пользователей и устройств и подсвечивает аномалии — аномалии времени/места логина, нетипичный доступ к файлам, паттерны lateral movement. Критичен для детекции insider-threat и compromised-account. Лидеры — Splunk UBA, Exabeam, Microsoft Sentinel UEBA.
- CASB (Cloud Access Security Broker)
- Cloud-security слой, который мониторит и применяет политики к SaaS-приложениям сотрудников. Покрывает shadow-IT discovery, DLP, threat protection и compliance-проверки. Лидеры — Microsoft Defender for Cloud Apps, Netskope, McAfee MVISION, Zscaler CASB. Security-DMZ эпохи SaaS-first.
- DLP (Data Loss Prevention)
- Система, предотвращающая несанкционированный exfiltration чувствительных данных — PII, номеров карт, коммерческой тайны. Deep content inspection + enforcement политик на endpoint, network, email и cloud. Лидеры — Symantec DLP, Forcepoint, Microsoft Purview, Netskope. Сердце compliance GDPR, KVKK и HIPAA.
- IAM (Identity & Access Management)
- Платформа, отвечающая на вопрос "кто к какой системе с какими правами имеет доступ?". Единый источник identity (Okta, Azure AD/Entra, Auth0, Ping Identity), SSO, MFA, автоматизация lifecycle joiner-mover-leaver, RBAC/ABAC. Центр любой современной zero-trust архитектуры.
- Privileged Access Management (PAM)
- Платформа управления и аудита привилегированных учёток — admin, root, break-glass. Just-in-time доступ, password vault, session recording, approval-workflow. Лидеры — CyberArk, BeyondTrust, Delinea, HashiCorp Boundary; основной контроль против insider-threat и privilege escalation.
- KYC (Know Your Customer)
- Финансово-регуляторное требование подтверждения личности клиента. Шаги — документы (ID, паспорт), liveness check (selfie/video), адрес (квитанция ЖКХ), source of funds. Обязательный этап для банков, crypto-бирж и финтех-компаний; нарушение — миллионные штрафы и отзыв лицензии.
- AML (Anti-Money Laundering)
- Регуляторные и операционные контроли против отмывания денег. Transaction monitoring, Suspicious Activity Report (SAR), sanctions screening (OFAC, ЕС, ООН), PEP-чек (Politically Exposed Person). Compliance-функция банков и финтехов; FinCEN и FATF задают глобальные стандарты.
- PCI DSS Level 1
- Самый строгий стандарт card-security, охватывающий компании, обрабатывающие свыше 6 млн карточных транзакций в год. Ежегодный on-site аудит QSA (Qualified Security Assessor), ежеквартальные сканы уязвимостей, pentest и проверка сегментации. Stripe, Adyen и Shopify Payments сертифицированы Level 1.
- Embedded Finance
- Встраивание финансовых услуг — платежей, кредита, страхования, банковских счетов — прямо в нефинансовые продукты. Примеры: driver-аккаунты Uber, Shopify Capital, Tesla Insurance, Apple Card. Опирается на Banking-as-a-Service провайдеров (Stripe Treasury, Unit, Synapse); прогнозируемый рынок к 2030 — $7+ трлн.
- Apple Pay / Google Pay (Wallet)
- Цифровой кошелёк, где данные карты токенизируются и хранятся в телефоне или wearable, далее используются для NFC- или online-оплаты. Fraud rate в card-not-present падает на 50 %+; бэкенд — Visa Token Service и Mastercard MDES. iOS NFC открылся для third-party кошельков в 2024 в рамках DMA ЕС.
- Direct Debit (SEPA DD / BACS)
- Предварительно авторизованный pull со счёта клиента для регулярных платежей — аренда, счета, подписки. SEPA Direct Debit в Европе, BACS Direct Debit в Великобритании, ACH Debit в США. Стандарт pull-payment для subscription-бизнеса и utility; правила — pre-notification, mandate ID и право на chargeback.
- Wire Transfer
- Real-time банковский перевод высокой стоимости — domestic через Fedwire в США, международный через SWIFT. Settlement в тот же день, fee $25-50, необратимо. Стандартная rail для B2B большой суммы и покупки недвижимости; быстрее и дороже ACH.
- Cross-Border Payment
- Международный платёж между разными валютами и банковскими сетями. Классический SWIFT correspondent banking занимает 2-5 дней с fee 2-5 %; современные альтернативы — Wise, Revolut, Stripe Cross-Border, блокчейн-стейблкоины (USDC). Глобальные cross-border B2B-платежи в 2024 превысили $150 трлн.
- Authorization vs Settlement
- Два шага карточной транзакции. Authorization: ставит hold на лимит карты за секунды; Settlement: превращает hold в реальное списание через 1-3 рабочих дня. В e-commerce авторизация при заказе, capture/settle при отгрузке; в ресторане — auth + adjusted-settlement для чаевых.
- Chargeback
- Банк клиента отменяет транзакцию → refund + chargeback fee $15-50 для мерчанта. Причины: "item not received", fraud, duplicate charge. Современная последовательность: pre-arbitration → arbitration. Visa Compelling Evidence 3.0 (2023) даёт мерчанту усиленные инструменты доказательной базы.
- Friendly Fraud
- Клиент действительно получил и пользовался товаром, но открывает chargeback с "не узнаю это". 60-80 % chargeback в e-commerce — friendly fraud. Защита мерчанта — скриншоты заказа, tracking, IP-match, подтверждение доставки с подписью.
- Interchange Fee
- Комиссия, которую acquirer-банк платит issuer-банку (банку держателя карты). Устанавливается schedules Visa/Mastercard — ~1,5-3 % в США и 0,2-0,3 % в ЕС по PSD2-капу. Крупнейшая часть общего ~2,5 % merchant-fee и самая прибыльная статья дохода финтехов.
- Acquirer Bank vs Issuer Bank
- Два конца карточной транзакции. Issuer Bank: банк, выдавший карту держателю (лимит, billing); Acquirer Bank: банк, интегрированный с payment processor мерчанта (merchant funding, settlement). Stripe и Adyen работают с acquirer — back-end партнёр мерчанта.
- eKYC / Digital KYC
- Полностью цифровой преемник KYC. AI-верификация selfie + ID-документ через Onfido, Jumio, Veriff или Persona; онбординг за 30 секунд-2 минуты, manual review — fallback. AI-детектирование подделки документа и liveness anti-spoofing — обязательны. Конверсионное преимущество современных финтехов.
- Card Brand (Visa / Mastercard / Amex)
- Владельцы карточных сетей. Visa и Mastercard — open-loop (любой банк может быть issuer/acquirer); Amex и Discover — closed-loop (сами выступают банком). Глобальная доля объёма: Visa ~38 %, Mastercard ~28 %, Amex ~22 %; в Турции Troy — локальная сеть. Interchange + network fee бренда формируют базу merchant-cost.
- Card-Present vs Card-Not-Present
- CP: клиент физически в магазине с картой — chip + PIN, NFC, swipe. CNP: e-commerce, phone или mail-order. Fraud в CNP в 8-10× выше CP; 3DS2, токенизация и fraud scoring обязательны. Фундаментальная разница профиля риска между brick-and-mortar и онлайн-ретейлом.
- Open Banking / PISP / AISP
- Две third-party роли, созданные PSD2. AISP (Account Information Service Provider): агрегация счетов, financial planning — Mint, Tink. PISP (Payment Initiation Service Provider): инициация платежа прямо со счёта в банке — Trustly, GoCardless Instant. Прямой конкурент карточным сетям.
- HIPAA
- Закон США 1996 года о приватности данных здоровья. PHI (Protected Health Information) — связка идентичности пациента и состояния здоровья; обязательны шифрование в storage и transit, access-логи и 6-летний audit trail. Штрафы $50K-1,5 млн за нарушение; HIPAA-compliance — обязательное требование для любого SaaS, продающего в healthcare.
- RegTech (Regulatory Technology)
- Tech-сегмент, автоматизирующий compliance и регуляторные процессы. Покрывает AML/KYC (ComplyAdvantage, Chainalysis), regulatory reporting (NICE Actimize, FIS Protegent), tax automation (Avalara, TaxJar) и GDPR/CSRD-отчётность. Инвестиции в RegTech в 2024 превысили $15 млрд; самая быстрорастущая категория поставщиков для банков, страховых и финтехов.
- InsurTech
- Tech-сегмент, цифровизирующий страхование. Lemonade (P&C, AI claims), Root (telematics auto), Hippo (smart-home insurance), Coalition (cyber insurance) и Wefox — глобальные лидеры; в Турции — Quick Sigorta и BoMonti. Data-driven и customer-experience-first аналог legacy-страхования.
01
CAPIConsent Mode v2
02
sGTMCustomer Match
03
TCF 2.2PII
04
Consent Mode v2
05
CDPCustomer Match
06
Reverse ETLData warehouse
07
CDPData warehouse
08
CAPIPII
09
Event schemaData governance
10
Data governance
11
Data governanceConsent Mode v2
12
PIIEvent schema
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
— ДЕРЕВО РЕШЕНИЙ
Подходит ли Вам first-party операция с данными?
Ответьте «Да/Нет» на 4 вопроса; результат с понятной рекомендацией.
01 / 04
Ваш ежемесячный рекламный бюджет превышает 30 тыс. USD?
Порог, при котором восстановление сигнала становится экономически осмысленным.
— LET'S BEGIN
Насколько Вы доверяете своим пикселям?
За 2-часовой signal audit мы выявляем потерянные конверсии, проблемы consent и возможности warehouse.