مكان إدخال البيانات والمدفوعات بأمان - SSL، التشفير

1) الحد الأدنى لأمن الموقع الأساسي

TLS 1 فقط. 2/1. 3 (لا 1. 0/1. 1).

الشفرات الحديثة: ECDHE مع AES-GCM أو ChaCha20-Poly1305 (قلم. على الهاتف المحمول).

PFS (السرية الأمامية المثالية) - через ECDHE.

شهادة صالحة (SHA-256)، مفتاح RSA ≥2048 أو ECDSA P-256/384.

HSTS (+ يفضل تحميلها مسبقًا): تطبيق صارم لـ HTTPS.

إعادة التوجيه من HTTP إلى HTTPS دون استثناءات.

شهادة الشفافية (SCT) - مرئية في تفاصيل الشهادة.

2) كيفية التحقق من الشهادة في 30-60 ثانية

• صدر إلى = المجال/subdomain الدقيق (SAN).
• صادر عن - CA معروف.
• الموعد النهائي لم ينته/ليس «غدا».

• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• لا يوجد «محتوى مختلط» (صور/نصوص HTTP على صفحة HTTPS).
• 3. افتح صفحة الدفع: يتطابق نطاق النموذج مع الموقع أو أنه PSP معروف في الإطار.

3) المدفوعات المحمية: ما يعتبر القاعدة

PCI DSS: لا يجمع الموقع PAN/CVV نفسه - حقول البطاقات داخل الحقول المستضافة/iframe PSP أو إعادة التوجيه إلى صفحة الدفع الخاصة بالمزود.

الترميز: تتحول البطاقة إلى رمز ؛ الموقع فقط يخزن «last4» ورمز مميز، لا CVV أبدًا.

3-D Secure 2. x/SCA: تأكيد الدفع/القياسات الحيوية في البنك.

Apple Pay/Google Pay: رموز الشبكة، الحد الأدنى من الإدخال اليدوي.

أساليب الحساب المصرفي (PayID/Osko، وما إلى ذلك): ترد تفاصيل دقيقة وتأكيد للقيد في الأرصدة ؛ لا توجد طلبات «لإرسال شاشة بطاقة إلى الدردشة».

مدفوعات التشفير: يتم إنشاء العنوان/QR على صفحة PSP، ويتم تسجيل المبلغ/الشبكة، وهناك تحذير بشأن الشبكة والعمولات.

4) الجلسات وتسجيل الدخول

Passkeys/ FIDO2 أو 2FA (TOTP/app, FIDO key; SMS هو احتياطي).

Куки: 'Secure', 'HttpOnly', 'SameSite = Lax/Strict'; الإخراج التلقائي حسب المهلة.

إدارة الجهاز: قائمة الجلسات النشطة، الخروج «من جميع الأجهزة».

تنبيهات تسجيل الدخول/تغيير كلمة السر عن طريق البريد الإلكتروني/الدفع.

5) الحماية الأمامية والخلفية (علامات غير مباشرة)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-seforts (anti-clickjacking).

بدون نصوص «يسار» تابعة لطرف ثالث على صفحة الدفع (anti-skimmer/Magecart).

بيانات التقييد/الإخفاء: يتم عرض «last4» والبريد الإلكتروني/الهاتف المقنع فقط في الملف الشخصي.

6) CCM/المستندات - كيفية التحميل بأمان

فقط من خلال خزانة آمنة (HTTPS/TLS 1. 2 +) مع لودر ؛ لا ترسل الوثائق إلى الدردشة/البريد.

النماذج المدعومة (PDF/JPG/PNG)، الحد الأقصى للحجم، سياسة صريحة للاحتفاظ/الحذف.

العلامات المائية («KYC فقط\[ الموقع ]\[ التاريخ]»)، أرقام البطاقات المخفية/QR.

سياسة الخصوصية: مدة التخزين، التحويل إلى أطراف ثالثة (مزود KYC)، بلد التخزين.

7) الهاتف المحمول والتطبيقات

بدون ARC/extensions: العب في المتصفح (HTML5) أو المتاجر الرسمية (App Store/Google Play).

حقوق التطبيق ضئيلة ؛ لا «الرسائل القصيرة/الاتصالات/المكالمات».

خدمة Wi-Fi العامة - فقط باستخدام VPN ودون إدخال CUS/card.

تم تمكين التحديثات التلقائية لنظام التشغيل/المتصفح.

8) التدقيق السريع للموقع (15 دقيقة)

1. الترخيص/التسجيل (2 دقيقة): على الموقع - الرقم والنقر، تطابق الكيان/المجال القانوني في السجل.

2. TLS/شهادة (2 دقيقة): شهادة → القفل (SAN, term, CA) ؛ DevTools → TLS 1. 2/1. 3، ECDHE + AES-GCM/ChaCha20.

3. HSTS/إعادة التوجيه (1 دقيقة): إجبار HTTPS، لا توجد إصدارات HTTP للحساب الشخصي/السجل النقدي.

4. نموذج الدفع (4 دقائق): الحقول المستضافة/iframe PSP، لا يوجد «اسم =» cardnumber «» في رمز الموقع ؛ 3-D Secure 2. x ؛ الترميز ؛ ومدفوعات جيش تحرير السودان المنشورة.

5. الحساب (3 دقائق): تشغيل 2FA/Passkeys ؛ والتحقق من سجلات المدخلات/الأجهزة ؛ طباشير «HttpOnly/Secure».

6. KYC (3 دقائق): bootloader، سياسة الخصوصية، حظر الإرسال عبر البريد الإلكتروني.

9) مصفوفة السلامة (100 نقطة)

TLS/شهادة - 20 (TLS 1. 2/1. 3، ECDHE + AES-GCM/ChaCha20، CT، HSTS)

المدفوعات/PCI - 25 (PSP-iframe/redirect، الترميز، 3-DS 2. x، بدون تخزين PAN/CVV)

Sessions/2FA-15 (Passkeys/TOTP، ملفات تعريف الارتباط الآمنة، إدارة الجهاز)

حماية الجبهة - 10 (CSP، سياسة الإحالة، أسلاف الإطار، لا توجد نصوص طرف ثالث عند الخروج)

KYC/Privacy - 10 (تحميل الخزانة، وقت التخزين، حظر البريد الإلكتروني)

الترخيص/السجل - 10 (انقر في السجل، تطابق الكيان/المجال القانوني)

Mobile - 5 (no ARC/extensions, official. stori)

شفافية المدفوعات - 5 (الطرق، الحد الأدنى/الأقصى، العمولات، جيش تحرير السودان، الطريقة نفسها)

الترجمة الشفوية: ≥85 توصية قوية ؛ 75-84 - لائق ؛ 60-74 - المتوسط ؛ <60 - تجنب.

10) الأعلام الحمراء (الماضي على الفور)

لا يوجد HTTPS على صفحات تسجيل الدخول/الدفع، محتوى مختلط.

TLS 1. 0/1. 1، شفرات قديمة، شهادة موقعة/منتهية الصلاحية.

حقول البطاقات في شعبة إدارة العمليات في الموقع (وليس في الإطار المتكامل) ؛ يطلب إرسال بطاقة مصورة/KUS للدردشة/البريد.

No 3-D Secure 2, no tomenization; توفير PAN/CVV لحساب.

لا يوجد 2FA/Passkeys ؛ ملفات تعريف الارتباط بدون «HttpOnly/Secure».

اطلب ACA/تحسينات للعبة/الدفع.

سياسة الخصوصية دون الاحتفاظ بالبيانات/نقلها.

11) نموذج بطاقة التحقق (ملء موقع واحد)

• TLS/شهادة: نسخة/Cipher/CA/Term/HSTS/CT
• المدفوعات: PSP-iframe/redirect/ 3-DS 2/tokenization/methods و SLA/نفس الطريقة
• الحساب: ملفات تعريف الارتباط 2FA/Passkeys/secure/إدارة الجلسات
• KYC/الخصوصية: تحميل الخزانة/مدة الصلاحية/الحظر البريد الإلكتروني
• الدفاع الأمامي: CSP/frame-surcess/referrer-policy
• الهاتف المحمول: المكتب. مخازن/لا ARA/ملحقات

• 12) الأسئلة الشائعة (قصيرة)

القفل = آمن ؟ لا ، ليس كذلك راجع إصدار TLS والشفرات والشهادة و HSTS وكيفية تضمين نموذج الدفع.

هل يمكنني إدخال خريطة على الموقع نفسه ؟ أكثر أمانًا - عبر iframe/إعادة توجيه PSP. إذا كان الموقع يتعامل مع PAN نفسه، فيجب أن يتوافق مع PCI DSS (نادر).

SMS-2FA القواعد ؟ تحسين برنامج توت/الاتحاد الدولي للتنمية الصناعية ؛ SMS هو احتياطي.

وثائق KYC للدردشة ؟ لا ، ليس كذلك فقط من خلال حمولة الخزانة على HTTPS.

النتيجة

المدخلات الآمنة للبيانات والمدفوعات ليست «قفلًا في شريط العناوين»، ولكنها مجموعة من العلامات: TLS الحديثة، HSTS، شهادة بدون مفاجآت، نماذج الدفع من PSP مع ترميز و 3-D Secure 2، 2FA/Passkeys، جلسات آمنة وحمولة مجلس الوزراء KYC. خذ تدقيقًا لمدة 15 دقيقة، وقم بتقييم الموقع على مصفوفة من 100 نقطة وقطع المشاريع ذات الأعلام الحمراء - وبهذه الطريقة تقلل من مخاطر الاعتراض وتسرب البيانات عند اللعب مقابل المال.