היכן להזין באופן מאובטח נתונים ותשלומים - SSL, הצפנה
💡המטרה היא להפריד במהירות אתרים שבהם אתה יכול להיכנס בבטחה מידע אישי/תשלום מאתרים עם סיכונים של יירוט, פישינג ודליפות.
1) מינימום אבטחת אתר בסיסי
TLS רק 1. 2/1. 3 (אין 1. 0/1. 1).
צפנים מודרניים: ECDHE עם AES-GCM או ChaCha20-Poly1305 (עט. על נייד).
PFS (סודיות קדמית מושלמת) - ECDHE.
תעודה תקפה (SHA-256), מפתח RSA P-256/384 2048 או ECDSA.
אכיפה קשה של HTTPS.
הפניה מ-HTTP ל-HTTPS ללא יוצא מן הכלל.
שקיפות תעודה (SCT) - גלויה בפרטי התעודה.
2) כיצד לאמת תעודה תוך 30-60 שניות
1. לחץ על תעודה ”lock” #:
- מונפק על-פי התחום המדויק של SAN (subdomain/subdomain).
- הונפק על ידי - CA ניתן לזיהוי.
- המועד האחרון לא פג/לא ”מחר”. 2. Tructures Devotols # אבטחה:
- TLS 1. 2/1. 3, ECDHE Extreme.
- אין ”תוכן מעורב” (תמונות/תסריטים של HTTPS בעמוד HTTPS).
- 3. פתח את דף התשלום: הטופס תואם את האתר או שהוא PSP ידוע ב iframe.
- TLS/תעודה: גרסה/צופן/CA/מונח/HSTS/CT
- תשלומים: PSP-iframe/reprect/ 3-DS 2/tokenization/methods ו ־ SLA/אותה שיטה
- חשבון: 2FA/Passkeys/secure עוגיות/ניהול הפעלה
- KYC/Privacy: Country upload/shef life/laupition
- הגנה קדמית: CSP/מסגרת-אבות/הפניה-מדיניות
- ניידת: משרד. חנויות/אין ARA/הרחבות תוצאה סופית (0-100):
- 12) FAQ (קצר)
3) תשלומים מוגנים: מה נחשב לנורמה
PCI DSS: האתר אינו אוסף את PAN/CVV עצמו - שדות קלפים בתוך השדות המארחים/iframe PSP או כוון מחדש לדף התשלום של הספק.
טוקניזציה: כרטיס הופך לאסימון; האתר מאכסן רק ”last4” ואות הוקרה, אף פעם לא CVV.
2 מאובטח תלת מימדי. אקס/סק "א: דחוף אישור/ביומטריה בבנק.
תשלום Apple/Google: אסימוני רשת, קלט ידני מינימלי.
שיטות חשבון בנק (PAYD/Osko וכו '): פרטים מדויקים ואישור זיכוי מוצגים; אין בקשות ”לשלוח מסך כרטיס לשיחה”.
תשלומי קריפטו: כתובת/QR נוצרים בדף PSP, הסכום/רשת רשום, ישנה אזהרה לגבי הרשת והעמלות.
4) הפעלות והתחברות
Passkeys/ FIDO2 או 2FA (TOTP/App, מפתח FIDO; SMS הוא נסיגה).
"Security", "HttpOnly", "Survite Site = Lax/Strict'; התחברות אוטומטית בזמן.
ניהול התקנים: רשימת הפעלות פעילות, יציאה ”מכל ההתקנים”.
התחברות ססמה/שינוי התראות על ידי דואר אלקטרוני/דחיפה.
5) הגנה קדמית ואחורית (סמנים עקיפים)
CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, Frame-Policy (אנטי-Clickgaking).
ללא תסריטי צד שלישי ”שמאלה” בדף התשלום (אנטי-סקימר/מגקרט).
הגבלה/מיסוך נתונים: רק ”last4” ודואר אלקטרוני/טלפון מוסווה מוצגים בפרופיל.
6) CCM/Docks - כיצד לטעון בבטחה
רק דרך ארון מאובטח (HTTPS/TLS 1. 2 +) עם מטעין; אל תשלח מסמכים לשיחה/דואר.
פורמטים נתמכים (PDF/JPG/PNG), הגבלת גודל, מדיניות שימור/מחיקה מפורשת.
סימני מים ("KYC בלבד\אתר \ תאריך), מספרי קלפים חבויים/QR.
מדיניות הפרטיות: חיי מדף, העברה לצדדים שלישיים (KYC diver), ארץ האחסון.
7) מובייל ואפליקציות
ללא ARC/הרחבות: נגן בדפדפן (HTML5) או בחנויות רשמיות (App Store/Google Play).
זכויות הבקשה מינימליות; אין ”SMS/אנשי קשר/שיחות”.
אינטרנט אלחוטי ציבורי - רק עם VPN ומבלי להכניס כרטיס CUS/CUS.
עדכונים אוטומטיים של מערכת ההפעלה.
8) ביקורת אתר מהירה (15 דקות)
1. רישיון/רישום (2 דקות): באתר - מספר ולחיצה, התאמת הישות החוקית/תחום במרשם.
2. תעודה TLS/תעודה (2 min): תעודת נעילה (SAN, מונח, CA); Devotols # TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20.
3. HSTS/redirects (1 דקות): HTTTPS כפוי, ללא גרסאות HTTP של חשבון אישי/קופה.
4. טופס תשלום (4 דקות): שדות מארחים/iframe PSP, ללא שם = ”cardnumber” בקוד האתר; 2 מאובטח תלת מימדי. x; טוקניזציה; שיטות ותשלומי SLA פורסמו.
5. חשבון (3 דקות): להפעיל 2FA/Passkeys; בדוק את רישומי הקלט/מכשירים; 'Httpally/Secure' cookies.
6. KYC (3 דקות): ראש אוצר, מדיניות פרטיות, איסור על שליחה בדואר אלקטרוני.
9) מטריצת בטיחות (100 נקודות)
TLS/תעודה - 20 (TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20, CT, HSTS)
תשלומים/PCI - 25 (PSP-iframe/reprect, tokenization, 3-DS 2. x, אין אחסון PAN/CVV)
Sessions/2FA - 15 (Passkeys/TOTP, עוגיות מאובטחות, ניהול התקנים)
הגנה קדמית - 10 (CSP, מדיניות הפניה, אבות מסגרת, אין תסריטי צד שלישי בקופה)
KYC/Privacy - 10 (העלאה בארון, זמן אחסון, איסור דואר אלקטרוני)
רישיון/רישום - 10 (לחץ במרשם, התאם ישות משפטית/תחום)
מובייל - 5 (לא ARC/extensions, רשמי. סטורי)
שקיפות התשלומים - 5 (שיטות, מין/מקס, עמלות, SLA, אותה שיטה)
פרשנות: 85 היא המלצה חזקה; 75-84 - בכושר; 60-74 - ממוצע; <60 - להימנע.
10) דגלים אדומים (בעבר באופן מיידי)
אין HTTPS בדפי התחברות/תשלום, תוכן מעורב.
TLS 1. 0/1. 1, צפנים מיושנים, אישור חתום/פג תוקף עצמי.
שדות קלפים ב-DOM של האתר (ולא ב-iframe PSP); מבקש לשלוח כרטיס צילום/KUS לצ 'אט/דואר.
אין 2 מאובטח תלת מימדי, אין אסימונים; שמירת PAN/CVV לחשבון.
אין 2FA/Passkeys; עוגיות ללא ”Httponsly/Secure”.
דורש ACA/שיפורים עבור משחק/תשלום.
מדיניות פרטיות ללא שמירת נתונים/העברה.
11) תבנית כרטיס אימות (מלא אתר אחד)
קישור דומיין/רישיון/רישום:
מנעול = בטוח? לא, זה לא ראה גרסת TLS, צופן, תעודה, HSTS וכיצד טופס התשלום מובנה.
אני יכול להכניס מפה לאתר עצמו? בטוח יותר - באמצעות iframe/refrect PSP. אם האתר מטפל ב-PAN עצמו, הוא חייב להיענות ל-PCI DSS (נדיר).
נורמות SMS-2FA? TOTP/FIDO טוב יותר; SMS הוא נסיגה.
מסמכי קיי-סי-סי לשיחה? לא, זה לא רק דרך נעילת הארון ב-HTTPS.
תוצאות
קלט מאובטח של נתונים ותשלומים אינו ”נעילה בסרגל הכתובות”, אלא סט של סימנים: TLS מודרני, HSTS, תעודה ללא הפתעות, טופסי תשלום מ-PSP עם אסימונים ו-3-D Secure 2, 2FA/Passkeys, פגישות מאובטחות ו-KYC apload. לקחת ביקורת של 15 דקות, לדרג את האתר על מטריצה 100 נקודות ולחתוך פרויקטים עם דגלים אדומים - בדרך זו אתה למזער את הסיכון של יירוט ודליפת נתונים בעת משחק עבור כסף.
