Πού να εισάγετε με ασφάλεια δεδομένα και πληρωμές - SSL, κρυπτογράφηση

1) Στοιχειώδες ελάχιστο ασφαλείας τοποθεσίας

TLS μόνο 1. 2/1. 3 (αριθ. 1. 0/1. 1).
Σύγχρονα κρυπτογραφήματα: ECDHE με AES-GCM ή ChaCha20-Poly1305 (στυλό. σχετικά με το κινητό).
PFS (Perfect Forward Secrety) - через ECDHE.
Ισχύον πιστοποιητικό (SHA-256), ≥2048 κλειδί RSA ή ECDSA P-256/384.
HSTS (+ κατά προτίμηση προφορτωμένο): αυστηρή εφαρμογή του HTTPS.
Ανακατευθύνετε από το HTTP στο HTTPS χωρίς εξαιρέσεις.
Διαφάνεια πιστοποιητικού (SCT) - εμφανής στα στοιχεία του πιστοποιητικού.

2) Πώς να επαληθεύσετε ένα πιστοποιητικό σε 30-60 δευτερόλεπτα

1. Κάντε κλικ στο πιστοποιητικό → «κλειδώματος»:

• Εκδόθηκε για να = ακριβής τομέας/υποδιαίρεση (SAN).
• Εκδοθέντα από - αναγνωρίσιμα CA.
• Η προθεσμία δεν λήγει/όχι «αύριο».
2. DevTools Ασφάλεια:
• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• Κανένα «μεικτό περιεχόμενο» (εικόνες/σενάρια HTTP στη σελίδα HTTPS).
• 3. Άνοιγμα της σελίδας πληρωμής: το πεδίο του εντύπου ταιριάζει με το site ή είναι γνωστό ως PSP στο iframe.

3) Προστατευόμενες πληρωμές: τι θεωρείται ο κανόνας

PCI DSS: ο ιστότοπος δεν συλλέγει το ίδιο το PAN/CVV - πεδία καρτών μέσα στα φιλοξενούμενα πεδία/iframe PSP ή δεν ανακατευθύνεται στη σελίδα πληρωμής του παρόχου.
Tokenization: η κάρτα μετατρέπεται σε μάρκα. ο ιστότοπος αποθηκεύει μόνο το «last4» και ένα σύμβολο, ποτέ CVV.
3-D Secure 2. x/SCA: επιβεβαίωση ώθησης/βιομετρικά στοιχεία στην τράπεζα.
Apple Pay/Google Pay: μάρκες δικτύου, ελάχιστη χειροκίνητη εισαγωγή.
Μέθοδοι τραπεζικού λογαριασμού (PayID/Osko κ.λπ.): αναγράφονται ακριβείς λεπτομέρειες και επιβεβαίωση της πίστωσης. δεν υπάρχουν αιτήματα για «αποστολή οθόνης καρτών στην συνομιλία».
Πληρωμές Crypto: η διεύθυνση/QR δημιουργείται στη σελίδα PSP, το ποσό/το δίκτυο είναι καταχωρημένο, υπάρχει προειδοποίηση για το δίκτυο και τις προμήθειες.

4) Σύνοδοι και σύνδεση

Passkeys/ FIDO2 ή 2FA (TOTP/app, πλήκτρο FIDO; Το SMS είναι οπισθοδρόμηση).
: 'Secure', 'HttpOnly', 'SameSite = Lax/Stric Куки, αυτόματη σύνδεση με το timeout.
Διαχείριση συσκευών: κατάλογος ενεργών συνεδριών, έξοδος «από όλες τις συσκευές».
Κωδικός πρόσβασης/αλλαγή ειδοποιήσεων μέσω ηλεκτρονικού ταχυδρομείου/ώθησης.

5) Προστασία εμπρόσθιου άκρου και υποστήριξης (έμμεσοι δείκτες)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-processors (anti-clickjacking).
Χωρίς τρίτα «αριστερά» σενάρια στη σελίδα πληρωμής (anti-skimmer/Magecart).
Δεδομένα περιορισμού/απόκρυψης: στο προφίλ εμφανίζονται μόνο «last4» και συγκεκαλυμμένο e-mail/τηλέφωνο.

6) CCM/Έγγραφα - Πώς να φορτώσετε με ασφάλεια

Μόνο μέσω ασφαλούς ερμαρίου (HTTPS/TLS 1. 2 +) με φορτωτή· δεν αποστέλλουν έγγραφα σε συνομιλία/ταχυδρομείο.
Υποστηριζόμενες μορφές (PDF/JPG/PNG), όριο μεγέθους, ρητή πολιτική διατήρησης/διαγραφής.
Υδατογραφήματα («KYC μόνο\[ site ]\[ ημερομηνία]»), κρυφοί αριθμοί καρτών/QR.
Πολιτική προστασίας της ιδιωτικής ζωής: διάρκεια ζωής, μεταφορά σε τρίτους (πάροχος KYC), χώρα αποθήκευσης.

7) Κινητά και εφαρμογές

Χωρίς ARC/επεκτάσεις: παίξτε στο πρόγραμμα περιήγησης (HTML5) ή στα επίσημα καταστήματα (App Store/Google Play).
Τα δικαιώματα υποβολής αιτήσεων είναι ελάχιστα· «SMS/επαφές/κλήσεις».
Δημόσια Wi-Fi - μόνο με VPN και χωρίς εισαγωγή κάρτας CUS.
Ενεργοποιούνται οι αυτόματες επικαιροποιήσεις OS/browser.

8) Ταχύς επιτόπιος έλεγχος (15 λεπτά)

1. Άδεια/μητρώο (2 λεπτά): στο χώρο - αριθμός και κλικ, η νομική οντότητα/τομέας ταιριάζει στο μητρώο.
2. TLS/πιστοποιητικό (2 λεπτά): πιστοποιητικό κλειδώματος (SAN, όρος, CA)· DevTools → TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20.
3. HSTS/ανακατευθύνσεις (1 λεπτό): αναγκαστική HTTPS, καμία έκδοση HTTP προσωπικού λογαριασμού/ταμειακού μητρώου.
4. Έντυπο πληρωμής (4 λεπτά): φιλοξενούμενα πεδία/iframe PSP, no 'name =' cardnumber '' in the site code? 3-D Secure 2. x, μαρκινοποίηση· μέθοδοι και δημοσιευμένες πληρωμές SLA.
5. Λογαριασμός (3 λεπτά): ενεργοποιήστε το 2FA/Passkeys. ελέγχει τα αρχεία καταγραφής εισροών/συσκευών· "HttpOnly/Secure 'coookies.
6. KYC (3 λεπτά): bootloader του υπουργικού συμβουλίου, Privacy policy, απαγόρευση αποστολής με ηλεκτρονικό ταχυδρομείο.

9) Μήτρα ασφαλείας (100 βαθμοί)

TLS/Πιστοποιητικό - 20 (TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20, CT, HSTS)
Πληρωμές/ΕΚΕ - 25 (PSP-iframe/redirect, mokenization, 3-DS 2. x, δεν υπάρχει αποθήκευση PAN/CVV)
- 15 (Passkeys/TOTP, ασφαλή cookies, διαχείριση συσκευών)
Εμπρόσθια προστασία - 10 (CSP, πολιτική παραπομπής, πρόγονοι πλαισίου, χωρίς σενάρια τρίτων στο checkout)
KYC/Privacy - 10 (υπηρεσία αποστολής, χρόνος αποθήκευσης, απαγόρευση ηλεκτρονικού ταχυδρομείου)
Άδεια/μητρώο - 10 (κάντε κλικ στο μητρώο, ταιριάξτε νομική οντότητα/τομέα)
Κινητό - 5 (χωρίς ARC/επεκτάσεις, επίσημο. stori)
Διαφάνεια των πληρωμών - 5 (μέθοδοι, min/max, προμήθειες, SLA, ίδια μέθοδος)
Ερμηνεία: ≥85 είναι μια ισχυρή σύσταση. 75-84 - καταλληλότητα· 60-74 - μέσος όρος· <60 - αποφυγή.

10) Κόκκινες σημαίες (στο παρελθόν αμέσως)

Δεν υπάρχει HTTPS στις σελίδες σύνδεσης/πληρωμής, μικτό περιεχόμενο.
TLS 1. 0/1. 1, παρωχημένα κρυπτογραφήματα, αυτο-υπογεγραμμένο/εκπνεόμενο πιστοποιητικό.
πεδία καρτών στο DOM του τόπου (και όχι στο iframe PSP)· αιτήματα αποστολής φωτογραφικής κάρτας/KUS για συνομιλία/ταχυδρομείο.
No 3-D Secure 2, no mockenization? εξοικονόμηση PAN/CVV για λογαριασμό.
Δεν υπάρχει 2FA/Passkeys. cookies χωρίς 'HttpOnly/Secure'.
Απαίτηση ACA/βελτιώσεων για το παιχνίδι/πληρωμή.
Πολιτική προστασίας της ιδιωτικής ζωής χωρίς διατήρηση/διαβίβαση δεδομένων.

11) Υπόδειγμα κάρτας επαλήθευσης (συμπληρώστε έναν τόπο)

Σύνδεσμος πεδίου/άδειας/μητρώου:
• TLS/Πιστοποιητικό: Έκδοση/Cipher/CA/Όρος/HSTS/CT
• Πληρωμές: PSP-iframe/redirect/ 3-DS 2/mokenization/methods και SLA/ίδια μέθοδος
• Λογαριασμός: 2FA/Passkeys/secure cookies/διαχείριση συνεδρίας
• KYC/Προστασία της ιδιωτικής ζωής: αποστολή/διάρκεια ζωής/απαγόρευση ηλεκτρονικού ταχυδρομείου
• Εμπρόσθια άμυνα: CSP/πρόγονοι-πλαίσιο/πολιτική παραπομπής
• Κινητό: γραφείο. αποθήκευση/όχι ARA/επεκτάσεις
Τελική βαθμολογία (0- 100):
• 12) Συχνές ερωτήσεις (σύντομες)

Κλειδαριά = ασφαλής Όχι, δεν είναι. Δείτε την έκδοση TLS, κρυπτογράφημα, πιστοποιητικό, HSTS και τον τρόπο κατασκευής του εντύπου πληρωμής.
Μπορώ να εισάγω ένα χάρτη στην ίδια την ιστοσελίδα Ασφαλέστερο - μέσω iframe/ανακατευθύνετε PSP. Εάν ο τόπος χειρίζεται ο ίδιος το PAN, πρέπει να συμμορφώνεται με το PCI DSS (σπάνιο).
Κανόνες Καλύτερη TOTP/FIDO· Το SMS είναι οπισθοδρόμηση.
Έγγραφα KYC για συζήτηση Όχι, δεν είναι. Μόνο μέσω του bootloader στο HTTPS.

Αποτέλεσμα

Ασφαλής εισαγωγή δεδομένων και πληρωμών δεν είναι μια «κλειδαριά στη γραμμή διευθύνσεων», αλλά ένα σύνολο σημάτων: σύγχρονο TLS, HSTS, ένα πιστοποιητικό χωρίς εκπλήξεις, έντυπα πληρωμής από PSP με μαρκαρισμό και 3-D Secure 2, 2FA/Passkeys, ασφαλείς συνεδρίες και cabinet KYC apload. Πάρτε ένα 15λεπτο έλεγχο, βαθμολογήστε το site σε έναν πίνακα 100 σημείων και διακόψτε τα έργα με κόκκινες σημαίες - με αυτόν τον τρόπο ελαχιστοποιείτε τον κίνδυνο υποκλοπής και διαρροής δεδομένων όταν παίζετε για χρήματα.