Este artigo analisa de forma honesta o IPQualityScore (IPQS) e onde ele se sobrepõe ao cside.
Como você está no site do cside, reconhecemos nossa parcialidade. Dito isso, construímos nossos argumentos de forma honesta e baseamos nossa análise em informações publicamente disponíveis, informações do setor e nossas próprias experiências ou as de nossos clientes.
Se você quiser verificar as afirmações deles por conta própria, acesse a página do produto.
Sejamos claros desde o início: o IPQualityScore e o cside não são o mesmo produto. O IPQS é um fornecedor bem estabelecido de detecção de fraude com uma ampla suíte de APIs, e faz muita coisa que o cside não faz — reputação de IP/proxy, validação de e-mail, validação de telefone, varredura de URL e malware. Esta página compara os dois na camada onde eles realmente se sobrepõem — fingerprinting de dispositivos no navegador, detecção de bots e de agentes de IA — e nos sinais dentro do navegador que o cside lê para fazê-lo: padrões comportamentais como movimento do mouse, comportamento de rolagem e cadência de digitação capturados a partir do seu próprio JavaScript de primeira parte, mais um mecanismo que sinaliza texto gerado por IA nos seus formulários. O cside também vai além da detecção de bots, abrangendo segurança de scripts do lado do cliente e cobertura de PCI DSS, que abordamos no final.
| Critério | cside | IPQualityScore | Por que importa | Quais são as consequências |
|---|---|---|---|---|
| Categoria | Segurança do lado do cliente + sinais de dispositivo de primeira parte | Suíte de APIs de detecção de fraude (pontuações de IP, e-mail, telefone, dispositivo, URL) | Trabalhos diferentes que se encontram na camada de sinais de dispositivo | |
| Amplitude das APIs de pontuação de fraude | Focado em sinais de dispositivo/comportamentais + segurança de scripts | Full support ampla: pontuação de proxy/IP, e-mail, telefone, dispositivo, URL/malware |
O IPQS cobre tipos de sinais que o cside não cobre | Para pontuação de e-mail/telefone/IP, o IPQS faz um trabalho que o cside não faz |
| Coleta de sinais de dispositivo | JavaScript de primeira parte no seu próprio domínio | O rastreador carrega de um domínio do IPQS por padrão (`ipqscdn.com`); domínio personalizado documentado como opção | Integridade e propriedade dos sinais | A origem de terceiros padrão pode ser visada por extensões de privacidade, a menos que um domínio personalizado seja configurado |
| Detecção de agentes de IA | Full support detecta + classifica tráfego agêntico em tempo real a partir do JS de primeira parte, lendo o comportamento na sessão (mouse, rolagem, cadência de digitação) na página ao vivo |
Detecção de bots/emuladores/automação; classificação de agentes de IA não descrita publicamente | Tráfego emergente de comércio agêntico | |
| Detecção de texto gerado por IA (campos de formulário) | Full support passe o conteúdo de um campo de formulário e o cside sinaliza se foi um humano ou uma IA que o escreveu |
No support não oferecido |
Avaliações falsas, cadastros de spam e abuso escrito por IA passam pelas verificações de rede | O abuso na origem do texto permanece invisível sem um sinal em nível de conteúdo |
| Preços públicos & self-service | Full support preços publicados, nível gratuito, teste |
Full support preços publicados, plano gratuito, níveis self-service (Enterprise é fale-com-vendas) |
Avalie sem um ciclo de vendas | Ambos são comercialmente transparentes |
O que é o IPQualityScore?
O IPQualityScore (IPQS) é uma plataforma de detecção de fraude e cibersegurança que opera há mais de uma década. É mais conhecido por uma suíte de APIs de pontuação de risco e um conjunto de ferramentas de consulta gratuitas. A suíte de APIs cobre reputação de proxy/VPN/Tor e de IP, validação de e-mail (incluindo detecção de e-mail descartável), validação de telefone, fingerprinting de dispositivos e varredura de URL maliciosa e malware, mais soluções especializadas para sequestro de contas, fraude de estorno e fraude de cliques. Segundo os seus próprios materiais, o IPQS se baseia em uma rede proprietária de honeypots, dados de transações em larga escala em milhares de empresas, monitoramento de botnets e varredura da dark web para produzir pontuações de risco e dados de reputação.
O IPQS publica preços de plano e oferece um plano gratuito (1.000 consultas por mês no momento da escrita) mais níveis pagos self-service, com um nível Enterprise — que desbloqueia recursos como o fingerprinting de dispositivos — disponível através de vendas. Ele afirma que os dados compartilhados com os seus endpoints de API são processados sob os padrões ISO 27001 e SOC 2 Type II e que é compatível com GDPR e CCPA.
Como o IPQualityScore funciona
O IPQS é principalmente um modelo de API-e-pontuação. Seus sistemas chamam os endpoints do IPQS — ou embutem seu rastreador de dispositivo JavaScript e SDKs móveis — e o IPQS retorna pontuações de risco e dados de reputação (por exemplo, pontuações de fraude, sinalizadores de proxy/VPN e risco de fingerprint de dispositivo em torno do que ele descreve como 300+ pontos de dados). Sua aplicação então decide o que fazer com essas pontuações.
Duas coisas decorrem desse design que importam para um comprador de segurança do lado do cliente. Primeiro, o rastreador de fingerprint de dispositivo é um JavaScript que, por padrão, carrega de um domínio de propriedade do IPQS (www.ipqscdn.com ou ipqualityscore.com) — uma origem de terceiros que extensões de privacidade podem visar. O IPQS documenta uma opção de domínio personalizado que permite servir o script de rastreamento a partir de um domínio que você registre, o que reduz essa exposição se você configurá-la. Segundo, esse rastreador é, ele próprio, um script de terceiros rodando nas suas páginas — exatamente o que o PCI DSS 6.4.3 pede que os comerciantes inventariem e monitorem — e os materiais públicos do IPQS não descrevem um produto para inventariar ou monitorar a adulteração dos scripts nas suas páginas de pagamento.
Como o cside se encaixa
O cside não é um substituto para a ampla suíte de pontuação de fraude que o IPQS oferece — pontuação de IP, e-mail, telefone e URL são trabalhos que o IPQS faz e o cside não, e não vamos fingir o contrário. O que o cside faz é a camada por baixo e ao redor da história de sinais de dispositivo e de scripts.
Na camada que os dois compartilham — detecção de dispositivos, bots e agentes de IA — o cside coleta sinais de dispositivo e comportamentais a partir do seu próprio JavaScript de primeira parte, então não há origem de terceiros fixa para uma lista de filtros bloquear e nenhum coletor fixo para um fraudador detectar e alimentar. Ele lê o comportamento na sessão na página ao vivo — padrões de movimento do mouse, comportamento de rolagem e cadência de digitação — junto com o fingerprinting de dispositivos (o cside cita 96% de precisão em 102+ sinais incluindo IP, geolocalização, VPN/proxy e atividade de bots), com detecção de bots e de agentes de IA integrada. Ele também adiciona um sinal que o IPQS não oferece: um mecanismo de detecção de texto gerado por IA — passe o conteúdo de um campo de formulário (uma avaliação, uma bio de cadastro, uma mensagem de suporte) e o cside lhe diz se foi um humano ou uma IA que o escreveu. Há mais nas nossas páginas de detecção de bots e detecção de agentes de IA, e os posts de Avneh sobre detecção comportamental de cursor e a stack de detecção neural de duas fases explicam em mais detalhe os sinais de movimento e sessão subjacentes.
Além da detecção de bots, o cside faz aquilo que o IPQS não comercializa: ele inventaria, justifica e monitora a adulteração de cada script nas suas páginas de pagamento — incluindo rastreadores de dispositivo como o do IPQS — para automatizar os requisitos 6.4.3 e 11.6.1 do PCI DSS 4.0.1, com relatórios prontos para QSA (validados pela VikingCloud e aceitos por QSAs líderes). Ele lhe dá evidências que você possui, utilizáveis em disputas de estorno através da nossa integração com a Chargebacks911, é implantado via um único script tag de primeira parte — sem proxy, sem mudanças de DNS — para 100% de visibilidade de sessão com zero latência adicional, e é compatível com SOC 2 Type II, ISO 27001 e GDPR, com um SLA de uptime de 99,9% e 50+ integrações. Muitas equipes rodam uma API de pontuação de fraude como o IPQS e o cside juntos; se a camada de sinais de dispositivo de primeira parte ou a cobertura de scripts PCI é sua lacuna, é aí que o cside se encaixa.
Cadastre-se ou agende uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.