跨境支付、SaaS、出海电商、金融/加密业务的团队都会遇到用户IP是否来自制裁地区的问题,如果判断失误,损失一定的订单事小,出现合规事故后,解决合规事故的精力、损失的时机才是最难以挽回的东西。
其实这个问题很多相关业务的团队都会注意到,将有关制裁国家的IP封禁,但后来还是会出现合规问题。为什么?
其实这个问题源自于,合规问题并不是一个国家维度的问题,举个"栗子":
A国家中有①②③个城市,B国家有④⑤⑥个城市,当业务侧处理A、B国家的合规问题时,不是"IP解析 → A/C国家 ≠/= 制裁国 → 放行/拦截"就可以的,因为常常会出现以下情况
1)、A国家不制裁相关产品,但是③城市制止
2)、B国家个人放行,但加密、金融、云服务相关合规
所以单单是指判断国家相关,一定是不够的,所以基本做法应该是:
1、第一层:IP→国家/地区(基础过滤)
国家(Country)→一级行政区(Region/Province/State)→城市(City)
逻辑应该是-IP是否落在被明确制裁的地理区域内
Country=A
Region=③
→命中制裁
这一步依赖的是IP地理定位数据的精细度,是否能做到"地区级别",导入IP数据云IP地址查询定位库,足够用了。
2、第二层:反规避判断(非常容易被忽略)
制裁地区用户不会老老实实用本地IP,常见规避方式包括:
V口N/Proxy、云厂商出口IP、Tor/匿口名网络、卫星网络
所以可以导入IP数据云的风险画像系统:
1)、IP是否为代口理/V口N/IDC/云IP
2)、IP ASN 是否异常
典型策略是:
制裁业务=地理命中+风险IP命中 → 拒绝或人工审核
!注意项
1)、只用免费IP查询接口
免费库:
地区精度不足(只到国家)
制裁地区更新滞后(版本落后)
免费≠可合规使用(有一些国家需要查看合规IP信息的来源,作为合规证明)
2)、规则写死在代码里
制裁名单是动态变化的(信息更替不及时,触发合规制裁):
地区新增
限制升级
规则一定要可配置、可更新