Harada təhlükəsiz daxil məlumat və ödənişlər - SSL, şifrələmə
1) Əsas minimum sayt təhlükəsizliyi
TLS yalnız 1. 2/1. 3 (No 1. 0/1. 1).
Müasir şifrələr: AES-GCM və ya ChaCha20-Poly1305 (perf. mobil).
PFS (Perfect Forward Secrecy) — через ECDHE.
Etibarlı sertifikat (SHA-256), RSA ≥ 2048 və ya ECDSA P-256/384 açarı.
HSTS (+ tercihen preloaded): HTTPS-yə sərt məcburiyyət.
istisnasız HTTPS üçün HTTP-dən Redirect.
Certificate Transparency (SCT) - sertifikatın təfərrüatlarında görünür.
2) 30-60 saniyə ərzində sertifikatı necə yoxlamaq olar
1. Basın «kilidi» → Sertifikat:- Kimə verilib = dəqiq domen/alt domen (SAN).
- Kim tərəfindən verilir - tanınan CA.
- Son tarix - «sabah» bitməyib.
- TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
- «mixed content» yoxdur (HTTPS səhifəsində HTTP şəkilləri/skriptləri).
- 3. Ödəniş səhifəsini açın: forma domeni saytla üst-üstə düşür və ya iframe-də məşhur PSP-dir.
3) Təhlükəsiz ödənişlər: norma hesab etmək
PCI DSS: site özü PAN/CVV toplamır - hosted fields/iframe PSP daxilində kart sahələri və ya provayderin ödəniş səhifəsinə redirekt.
Tokenizasiya: kart tokenə çevrilir; saytda yalnız «last4» və token saxlanılır, heç vaxt CVV.
3-D Secure 2. x/SCA: push-təsdiq/bankda biometrik.
Apple Pay/Google Pay: şəbəkə tokenləri, əllərinizlə minimum giriş.
Bank hesabının metodları (PayID/Osko, s.): dəqiq rekvizitlər və hesablaşmanın təsdiqi göstərilir; heç bir sorğu «chat kart ekran göndərmək».
Kriptovalyutalar: ünvan/QR PSP səhifəsində yaradılır, məbləğ/şəbəkə qeyd olunur, şəbəkə və komissiyalar haqqında xəbərdarlıq var.
4) Sessiyalar və giriş
Passkeys/ FIDO2 və ya 2FA (TOTR/APP, FIDO açarı; SMS - ehtiyat seçim).
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; taymaut avto-loqaut.
Cihazların idarə edilməsi: aktiv sessiyaların siyahısı, «bütün cihazlardan» çıxış.
E-mail/puş vasitəsilə giriş/şifrə dəyişikliyi alertləri.
5) Ön və arxa müdafiə (dolayı markerlər)
CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (anti-cliccacking).
Ödəniş səhifəsində üçüncü tərəf «sol» skriptləri olmadan (anti-skimmer/Magecart).
Məlumat məhdudiyyəti/masking: profildə yalnız «last4» və maskalı e-mail/telefon göstərilir.
6) KUS/sənədlər - necə təhlükəsiz yükləmək olar
Yalnız təhlükəsiz kabinet vasitəsilə (HTTPS/TLS 1. 2 +) yükləyici ilə; sənədləri chat/poçt göndərməyin.
Dəstəklənən formatlar (PDF/JPG/PNG), ölçü limiti, açıq saxlama/silmə siyasəti.
Su işarələri («yalnız KYC\[ sayt ]\[ tarix]»), gizli kart nömrələri/QR.
Gizlilik Siyasəti: saxlama müddəti, üçüncü tərəflərə ötürülməsi (KYC-provayder), saxlama ölkəsi.
7) Mobil və proqramlar
ARC/uzantıları olmadan: brauzerdə (HTML5) və ya rəsmi mağazalarda (App Store/Google Play) oynayın.
Proqram hüquqları - minimal; yoxdur «SMS/əlaqə/zənglər».
İctimai Wi-Fi - yalnız VPN və KUS/kart daxil olmadan.
Avtomatik yeniləmə OS/brauzer daxildir.
8) Saytın sürətli auditi (15 dəqiqə)
1. Lisenziya/reyestr (2 dəqiqə): saytda - nömrə və klik, reyestrdə hüquqi şəxs/domen üst-üstə düşür.
2. TLS/sertifikat (2 dəq): kilid → sertifikat (SAN, müddət, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/redaktorlar (1 dəq): məcburi HTTPS, şəxsi kabinet/kassanın HTTP versiyası yoxdur.
4. Ödəniş forması (4 dəq): hosted fields/iframe PSP, no 'name = «cardnumber»' saytının kodunda; 3-D Secure 2. x; tokenizasiya; metodları və SLA ödənişlər dərc.
5. Hesab (3 dəq): 2FA/Passkeys daxil edin; girişlərin/cihazların qeydlərini yoxlayın; cookies 'HttpOnly/Secure'.
6. KYC (3 dəq.): Ofis yükləyicisi, Gizlilik siyasəti, e-poçt göndərilməsini qadağan edir.
9) Təhlükəsizlik qiymətləndirmə matrisi (100 bal)
TLS/sertifikat - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
Ödənişlər/PCI - 25 (PSP-iframe/redirect, tokenizasiya, 3-DS 2. x, PAN/CVV saxlama olmadan)
Sessiyalar/2FA - 15 (Passkeys/TOTP, secure cookies, cihazların idarə edilməsi)
Ön müdafiə - 10 (CSP, referrer-policy, frame-ancestors, kassada üçüncü tərəf skriptləri yoxdur)
KYC/Privacy - 10 (kabinet appload, saxlama müddəti, e-mail qadağası)
Lisenziya/reyestr - 10 (reyestrə basın, hüquqi şəxsin/domenin üst-üstə düşməsi)
Mobile - 5 (heç bir ARC/uzantıları, ofits. storlar)
Ödənişlərin şəffaflığı - 5 (metodlar, min/max, komissiyalar, SLA, same-method)
Şərh: ≥ 85 - güclü tövsiyə; 75-84 - illik; 60-74 - orta; <60 - qaçmaq.
10) Qırmızı bayraqlar (dərhal keçdi)
Giriş/ödəniş səhifələrində HTTPS yoxdur, qarışıq məzmun.
TLS 1. 0/1. 1, köhnəlmiş şifrələr, öz-özünə imzalanan/vaxtı keçmiş sertifikat.
Saytın DOM-da kart sahələri (iframe PSP-də deyil); chat/poçt üçün kart/KUS foto göndərmək üçün xahiş.
No 3-D Secure 2, heç bir tokenizasiya; hesabda PAN/CVV saxlamaq.
Heç bir 2FA/Passkeys; cookies olmadan 'HttpOnly/Secure'.
Oyun/ödəniş üçün ARC/genişləndirmə tələb edir.
Saxlama/məlumat ötürmə müddəti olmadan gizlilik siyasəti.
11) Yoxlama kartı şablonu (bir sayta doldurun)
Domen/lisenziya/reyestr bağlantısı:- TLS/sertifikat: versiyası/şifrə/CA/müddət/HSTS/CT
- Ödənişlər: PSP-iframe/redirect/ 3-DS 2/tokenization/metodları və SLA/same-method
- Hesab: 2FA/Passkeys/secure cookies/seansların idarə edilməsi
- KYC/Privacy: kabinet appload/saxlama müddəti/e-mail qadağa
- Ön müdafiə: CSP/frame-ancestors/referrer-policy
- Mobile: ofits. stores/heç bir ARC/uzantıları
- 12) FAQ (qısa)
Kilid = təhlükəsiz? Yox. TLS versiyasına, şifrəyə, sertifikata, HSTS-ə və ödəniş formasının necə qurulduğuna baxın.
Xəritəni saytın özündə daxil edə bilərəmmi? Daha təhlükəsiz - PSP iframe/redirect vasitəsilə. Sayt özü PAN emal edirsə, PCI DSS (nadir) uyğun olmalıdır.
SMS-2FA normalar? Daha yaxşı TOTP/FIDO; SMS - ehtiyat seçim.
Chat KYC sənədləri? Yox. Yalnız HTTPS-də kabinet yükləyicisi vasitəsilə.
Yekun
Məlumatların və ödənişlərin təhlükəsiz daxil edilməsi «ünvan çubuğunda kilid» deyil, müasir TLS, HSTS, sürprizsiz sertifikat, PSP və 3-D Secure 2 ödəniş formaları, 2FA/Passkeys, qorunan sessiyalar və KYC-upload kabinetləridir. 15 dəqiqəlik auditdən keçin, 100 ballıq matrislə saytı qiymətləndirin və qırmızı bayraqlarla layihələri kəsin - beləliklə pul oynayarkən məlumatların tutulması və sızması riskini minimuma endirirsiniz.
