YinkoShield
Briefing

principes · les opinions encodées dans la spec

Six décisions de design. Énoncées explicitement parce qu'elles n'étaient pas gratuites.

Ce sont les trade-offs architecturaux que nous avons débattus, testés en production, et tenus. Ils expliquent pourquoi le substrat ressemble à ce qu'il est — et ce que nous avons refusé de construire.

  • ·01 Evidence sans enforcement
  • ·02 Quoi, pas comment
  • + ·03 Additif, pas disruptif
  • ✕→ ·04 Scheme-agnostic by design
  • ·05 Offline-first
  • ·06 Privacy by design
les décisions, en détail
  1. ·01

    Evidence sans enforcement

    Nous fournissons l'evidence. L'opérateur possède toute la policy.

    est

    fournisseur d'evidence

    n'est pas

    décideur de policy

    Le même enregistrement d'evidence est consommé par une gateway, un émetteur, une plateforme de litiges, et un investigateur forensique — chacun appliquant ses propres seuils, ses propres règles.

  2. ·02

    Quoi, pas comment

    Le format décrit ce qui est observé, pas comment c'est acquis.

    est

    signal observé dans la spec

    n'est pas

    mécanisme de détection dans la spec

    Les mécanismes de détection — abus d'accessibility-service, overlay, hooking — restent dans le runtime. Le système consommateur voit un signal signé, pas un mécanisme.

  3. ·03 +

    Additif, pas disruptif

    EEI introduit un nouveau canal d'evidence. Il ne modifie pas les formats de message existants.

    est

    nouveau canal d'evidence

    n'est pas

    modification des formats existants

    Un backend qui ne consomme pas encore l'evidence l'ignore sans impact. L'adoption est incrémentale.

  4. ·04 ✕→

    Scheme-agnostic by design

    Aucun champ scheme-spécifique n'apparaît dans le format.

    est

    portable entre schemes

    n'est pas

    scheme-spécifique

    Le même token opère entre schemes, géographies, et plateformes. La spec documente l'embedding ISO 8583 via l'enveloppe BER-TLV `0xF0` — choisie parce qu'elle ne conflicte pas avec les sous-éléments définis chez Mastercard ou Visa — plus trois profils d'intégration : `iso8583-de48-minimal` (rails carte, budget DE 48 serré), `mobile-wallet-retail` (Standard Profile plus riche quand la bande passante le permet), `agent-assisted-channel` (événements distincts pour client vs agent). Scheme-portable by design, pas par distance.

  5. ·05

    Offline-first

    La génération d'evidence ne requiert pas de connectivité.

    est

    ledger local-first

    n'est pas

    dépendant de la connectivité

    Le Local Evidence Ledger accumule des enregistrements cohérents pendant la partition. Le ledger est le store d'evidence primaire, pas un cache.

  6. ·06

    Privacy by design

    Aucune PII client dans l'evidence. L'opérateur possède le cycle de vie des données de bout en bout.

    est

    identité d'appareil pseudonyme

    n'est pas

    PII client

    Les identifiants d'appareil sont pseudonymes. Les signaux d'identité réseau détectent les changements de continuité sans identifiants SIM ou réseau bruts. Le ledger ne quitte jamais l'appareil sans une demande explicite initiée par l'opérateur.

Tant que les appareils mobiles auront été des endpoints de paiement, l'intervalle d'exécution entre l'action de l'appareil et la réception réseau aura été l'angle mort structurel de l'infrastructure de paiement. Les principes ci-dessus sont la raison pour laquelle notre réponse tient.