مكان إدخال البيانات والمدفوعات بأمان - SSL، التشفير

1) الحد الأدنى لأمن الموقع الأساسي

TLS 1 فقط. 2/1. 3 (لا 1. 0/1. 1).
الشفرات الحديثة: ECDHE مع AES-GCM أو ChaCha20-Poly1305 (قلم. على الهاتف المحمول).
PFS (السرية الأمامية المثالية) - через ECDHE.
شهادة صالحة (SHA-256)، مفتاح RSA ≥2048 أو ECDSA P-256/384.
HSTS (+ يفضل تحميلها مسبقًا): تطبيق صارم لـ HTTPS.
إعادة التوجيه من HTTP إلى HTTPS دون استثناءات.
شهادة الشفافية (SCT) - مرئية في تفاصيل الشهادة.

2) كيفية التحقق من الشهادة في 30-60 ثانية

1. انقر فوق شهادة «القفل» →:

• صدر إلى = المجال/subdomain الدقيق (SAN).
• صادر عن - CA معروف.
• الموعد النهائي لم ينته/ليس «غدا».
2. В DevTools → Security:
• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• لا يوجد «محتوى مختلط» (صور/نصوص HTTP على صفحة HTTPS).
• 3. افتح صفحة الدفع: يتطابق نطاق النموذج مع الموقع أو أنه PSP معروف في الإطار.

3) المدفوعات المحمية: ما يعتبر القاعدة

PCI DSS: لا يجمع الموقع PAN/CVV نفسه - حقول البطاقات داخل الحقول المستضافة/iframe PSP أو إعادة التوجيه إلى صفحة الدفع الخاصة بالمزود.
الترميز: تتحول البطاقة إلى رمز ؛ الموقع فقط يخزن «last4» ورمز مميز، لا CVV أبدًا.
3-D Secure 2. x/SCA: تأكيد الدفع/القياسات الحيوية في البنك.
Apple Pay/Google Pay: رموز الشبكة، الحد الأدنى من الإدخال اليدوي.
أساليب الحساب المصرفي (PayID/Osko، وما إلى ذلك): ترد تفاصيل دقيقة وتأكيد للقيد في الأرصدة ؛ لا توجد طلبات «لإرسال شاشة بطاقة إلى الدردشة».
مدفوعات التشفير: يتم إنشاء العنوان/QR على صفحة PSP، ويتم تسجيل المبلغ/الشبكة، وهناك تحذير بشأن الشبكة والعمولات.

4) الجلسات وتسجيل الدخول

Passkeys/ FIDO2 أو 2FA (TOTP/app, FIDO key; SMS هو احتياطي).
Куки: 'Secure', 'HttpOnly', 'SameSite = Lax/Strict'; الإخراج التلقائي حسب المهلة.
إدارة الجهاز: قائمة الجلسات النشطة، الخروج «من جميع الأجهزة».
تنبيهات تسجيل الدخول/تغيير كلمة السر عن طريق البريد الإلكتروني/الدفع.

5) الحماية الأمامية والخلفية (علامات غير مباشرة)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-seforts (anti-clickjacking).
بدون نصوص «يسار» تابعة لطرف ثالث على صفحة الدفع (anti-skimmer/Magecart).
بيانات التقييد/الإخفاء: يتم عرض «last4» والبريد الإلكتروني/الهاتف المقنع فقط في الملف الشخصي.

6) CCM/المستندات - كيفية التحميل بأمان

فقط من خلال خزانة آمنة (HTTPS/TLS 1. 2 +) مع لودر ؛ لا ترسل الوثائق إلى الدردشة/البريد.
النماذج المدعومة (PDF/JPG/PNG)، الحد الأقصى للحجم، سياسة صريحة للاحتفاظ/الحذف.
العلامات المائية («KYC فقط\[ الموقع ]\[ التاريخ]»)، أرقام البطاقات المخفية/QR.
سياسة الخصوصية: مدة التخزين، التحويل إلى أطراف ثالثة (مزود KYC)، بلد التخزين.

7) الهاتف المحمول والتطبيقات

بدون ARC/extensions: العب في المتصفح (HTML5) أو المتاجر الرسمية (App Store/Google Play).
حقوق التطبيق ضئيلة ؛ لا «الرسائل القصيرة/الاتصالات/المكالمات».
خدمة Wi-Fi العامة - فقط باستخدام VPN ودون إدخال CUS/card.
تم تمكين التحديثات التلقائية لنظام التشغيل/المتصفح.

8) التدقيق السريع للموقع (15 دقيقة)

1. الترخيص/التسجيل (2 دقيقة): على الموقع - الرقم والنقر، تطابق الكيان/المجال القانوني في السجل.
2. TLS/شهادة (2 دقيقة): شهادة → القفل (SAN, term, CA) ؛ DevTools → TLS 1. 2/1. 3، ECDHE + AES-GCM/ChaCha20.
3. HSTS/إعادة التوجيه (1 دقيقة): إجبار HTTPS، لا توجد إصدارات HTTP للحساب الشخصي/السجل النقدي.
4. نموذج الدفع (4 دقائق): الحقول المستضافة/iframe PSP، لا يوجد «اسم =» cardnumber «» في رمز الموقع ؛ 3-D Secure 2. x ؛ الترميز ؛ ومدفوعات جيش تحرير السودان المنشورة.
5. الحساب (3 دقائق): تشغيل 2FA/Passkeys ؛ والتحقق من سجلات المدخلات/الأجهزة ؛ طباشير «HttpOnly/Secure».
6. KYC (3 دقائق): bootloader، سياسة الخصوصية، حظر الإرسال عبر البريد الإلكتروني.

9) مصفوفة السلامة (100 نقطة)

TLS/شهادة - 20 (TLS 1. 2/1. 3، ECDHE + AES-GCM/ChaCha20، CT، HSTS)
المدفوعات/PCI - 25 (PSP-iframe/redirect، الترميز، 3-DS 2. x، بدون تخزين PAN/CVV)
Sessions/2FA-15 (Passkeys/TOTP، ملفات تعريف الارتباط الآمنة، إدارة الجهاز)
حماية الجبهة - 10 (CSP، سياسة الإحالة، أسلاف الإطار، لا توجد نصوص طرف ثالث عند الخروج)
KYC/Privacy - 10 (تحميل الخزانة، وقت التخزين، حظر البريد الإلكتروني)
الترخيص/السجل - 10 (انقر في السجل، تطابق الكيان/المجال القانوني)
Mobile - 5 (no ARC/extensions, official. stori)
شفافية المدفوعات - 5 (الطرق، الحد الأدنى/الأقصى، العمولات، جيش تحرير السودان، الطريقة نفسها)
الترجمة الشفوية: ≥85 توصية قوية ؛ 75-84 - لائق ؛ 60-74 - المتوسط ؛ <60 - تجنب.

10) الأعلام الحمراء (الماضي على الفور)

لا يوجد HTTPS على صفحات تسجيل الدخول/الدفع، محتوى مختلط.
TLS 1. 0/1. 1، شفرات قديمة، شهادة موقعة/منتهية الصلاحية.
حقول البطاقات في شعبة إدارة العمليات في الموقع (وليس في الإطار المتكامل) ؛ يطلب إرسال بطاقة مصورة/KUS للدردشة/البريد.
No 3-D Secure 2, no tomenization; توفير PAN/CVV لحساب.
لا يوجد 2FA/Passkeys ؛ ملفات تعريف الارتباط بدون «HttpOnly/Secure».
اطلب ACA/تحسينات للعبة/الدفع.
سياسة الخصوصية دون الاحتفاظ بالبيانات/نقلها.

11) نموذج بطاقة التحقق (ملء موقع واحد)

رابط النطاق/الترخيص/السجل:
• TLS/شهادة: نسخة/Cipher/CA/Term/HSTS/CT
• المدفوعات: PSP-iframe/redirect/ 3-DS 2/tokenization/methods و SLA/نفس الطريقة
• الحساب: ملفات تعريف الارتباط 2FA/Passkeys/secure/إدارة الجلسات
• KYC/الخصوصية: تحميل الخزانة/مدة الصلاحية/الحظر البريد الإلكتروني
• الدفاع الأمامي: CSP/frame-surcess/referrer-policy
• الهاتف المحمول: المكتب. مخازن/لا ARA/ملحقات
النتيجة النهائية (0-100):
• 12) الأسئلة الشائعة (قصيرة)

القفل = آمن ؟ لا ، ليس كذلك راجع إصدار TLS والشفرات والشهادة و HSTS وكيفية تضمين نموذج الدفع.
هل يمكنني إدخال خريطة على الموقع نفسه ؟ أكثر أمانًا - عبر iframe/إعادة توجيه PSP. إذا كان الموقع يتعامل مع PAN نفسه، فيجب أن يتوافق مع PCI DSS (نادر).
SMS-2FA القواعد ؟ تحسين برنامج توت/الاتحاد الدولي للتنمية الصناعية ؛ SMS هو احتياطي.
وثائق KYC للدردشة ؟ لا ، ليس كذلك فقط من خلال حمولة الخزانة على HTTPS.

النتيجة

المدخلات الآمنة للبيانات والمدفوعات ليست «قفلًا في شريط العناوين»، ولكنها مجموعة من العلامات: TLS الحديثة، HSTS، شهادة بدون مفاجآت، نماذج الدفع من PSP مع ترميز و 3-D Secure 2، 2FA/Passkeys، جلسات آمنة وحمولة مجلس الوزراء KYC. خذ تدقيقًا لمدة 15 دقيقة، وقم بتقييم الموقع على مصفوفة من 100 نقطة وقطع المشاريع ذات الأعلام الحمراء - وبهذه الطريقة تقلل من مخاطر الاعتراض وتسرب البيانات عند اللعب مقابل المال.