सुरक्षित रूप से डेटा और भुगतान कहाँ दर्ज करें - SSL, एन्क्रिप्शन

1) मूल साइट सुरक्षा न्यूनतम

टीएलएस केवल 1। 2/1. 3 (नहीं 1। 0/1. 1).
आधुनिक सिफर्स: ECDHE AES-GCM या ChaCha20-Poly1305 (पेन) के साथ। मोबाइल पर)।
पीएफएस (परफेक्ट फॉरवर्ड सेक्रेसी) - через ईसीडीएचई।
वैध प्रमाणपत्र (SHA-256), RSA कुंजी ≥2048 या ECDSA P-256/384।
HSTS (+ अधिमानतः पहले से लोड): HTTPS का कठिन प्रवर्तन।
बिना अपवाद के HTTP से HTTPS में रीडायरेक्ट करें।
प्रमाणपत्र पारदर्शिता (एससीटी) - प्रमाणपत्र विवरण में दिखाई देता है।

2) 30-60 सेकंड में प्रमाण पत्र कैसे सत्यापित करें

1. "लॉक" → प्रमाणपत्र पर क्लिक करें:

• = सटीक डोमेन/सबडोमेन (SAN) पर जारी किया गया।
• द्वारा पहचानने योग्य सीए जारी किया गया।
• समय सीमा समाप्त नहीं हुई है/" कल "नहीं है।
2. В DevTools → सुरक्षा:
• टीएलएस 1। 2/1. 3, ECDHE и AES-GCM/ChaCha20।
• कोई "मिश्रित सामग्री" नहीं (HTTP चित्र/स्क्रिप्ट HTTPS पृष्ठ पर)।
• 3. भुगतान पृष्ठ खोलें: फॉर्म डोमेन साइट से मेल खाता है या यह iframe में एक प्रसिद्ध PSP है।

3) संरक्षित भुगतान: क्या आदर्श माना जाता है

पीसीआई डीएसएस: साइट पैन/सीवीवी स्वयं - कार्ड फ़ील्ड को होस्ट फ़ील्ड/इफ्रेम पीएसपी के अंदर एकत्र नहीं करती है या प्रदाता के भुगतान पृष्ठ पर पुनर्निर्देशित नहीं करती है।
टोकन: कार्ड टोकन में बदल जाता है; साइट केवल "अंतिम 4" और एक टोकन स्टोर करती है, कभी सीवीवी नहीं।
3-डी सिक्योर 2। x/SCA: बैंक में पुष्टि/बायोमेट्रिक्स पुश करें।
Apple पे/Google पे: नेटवर्क टोकन, न्यूनतम मैनुअल इनपुट।
बैंक खाता विधियां (PayID/Osko, आदि): सटीक विवरण और क्रेडिटिंग की पुष्टि दिखाई जाती है; "चैट को कार्ड स्क्रीन भेजने" के लिए कोई अनुरोध नहीं हैं।
क्रिप्टो भुगतान: पता/क्यूआर पीएसपी पृष्ठ पर उत्पन्न होता है, राशि/नेटवर्क पंजीकृत होता है, नेटवर्क और आयोगों के बारे में चेतावनी दी जाती है।

4) सत्र और लॉगिन

Passkeys/ FIDO2 या 2FA (TOTP/app, FIDO कुंजी; एसएमएस एक नतीजा है)।
Куки: 'सिक्योर', 'Httpown', 'SemSite = Lax/Strict'; टाइमआउट द्वारा ऑटो-लॉगआउट।
उपकरण प्रबंधन: सक्रिय सत्रों की सूची, "सभी उपकरणों से बाहर"।
पासवर्ड लॉगिन/ई-मेल/पुश द्वारा अलर्ट बदलें.

5) फ्रंट-एंड और बैकेंड प्रोटेक्शन (अप्रत्यक्ष मार्कर)

सीएसपी (कंटेंट-सिक्योरिटी-पॉलिसी), एक्स-कंटेंट-टाइप-ऑप्शन, रेफरर-पॉलिसी, फ्रेम-पूर्वजों (एंटी-क्लिकजैकिंग)।
भुगतान पृष्ठ (एंटी-स्किमर/मैगकार्ट) पर थर्ड-पार्टी "लेफ्ट" स्क्रिप्ट के बिना।
प्रतिबंध/मास्किंग डेटा: केवल "अंतिम 4" और प्रच्छन्न ई-मेल/फोन प्रोफ़ाइल में प्रदर्शित किए जाते हैं।

6) सीसीएम/दस्तावेज़ - कैसे सुरक्षित रूप से लोड करें

केवल एक सुरक्षित कैबिनेट के माध्यम से (HTTPS/TLS 1। 2 +) लोडर के साथ; चैट/मेल पर दस्तावेज़ न भेजें।
समर्थित प्रारूप (पीडीएफ/जेपीजी/पीएनजी), आकार सीमा, स्पष्ट प्रतिधारण/विलोपन नीति।
वाटरमार्क ("KYC केवल· [साइट]· [तिथि]"), छिपा हुआ कार्ड नंबर/QR।
गोपनीयता नीति: शेल्फ जीवन, तीसरे पक्ष (केवाईसी प्रदाता), भंडारण देश में स्थानांतरण।

7) मोबाइल और ऐप्स

ARC/एक्सटेंशन के बिना: ब्राउज़र (HTML5) या आधिकारिक स्टोर (ऐप स्टोर/Google Play) में खेलें।
आवेदन अधिकार न्यूनतम हैं; कोई "एसएमएस/संपर्क/कॉल" नहीं।
पब्लिक वाई-फाई - केवल वीपीएन के साथ और सीयूएस/कार्ड में प्रवेश किए बिना।
ओएस/ब्राउज़र स्वतः अद्यतन सक्षम हैं.

8) त्वरित साइट ऑडिट (15 मिनट)

1. लाइसेंस/रजिस्ट्री (2 मिनट): साइट - संख्या और क्लिक पर, रजिस्ट्री में कानूनी इकाई/डोमेन मैच।
2. TLS/प्रमाणपत्र (2 मिनट): लॉक → प्रमाणपत्र (SAN, शब्द, CA); DevTools → TLS 1। 2/1. 3, ECDHE + AES-GCM/ChaCha20।
3. HSTS/redirects (1 मिनट): मजबूर HTTPS, व्यक्तिगत खाते/नकद रजिस्टर के कोई HTTP संस्करण।
4. भुगतान फॉर्म (4 मिनट): होस्ट किए गए क्षेत्र/इफ्रेम पीएसपी, साइट कोड में कोई 'नाम = "कार्डनम्बर" नहीं; 3-डी सिक्योर 2। एक्स; टोकन; तरीके और एसएलए भुगतान प्रकाशित।
5. खाता (3 मिनट): 2FA/Passkeys चालू करें; इनपुट/उपकरणों के लॉग की जाँच करें; 'Httpown/Secure' cookies।
6. KYC (3 मिनट): कैबिनेट बूटलोडर, गोपनीयता नीति, ई-मेल द्वारा भेजने पर प्रतिबंध।

9) सुरक्षा मैट्रिक्स (100 अंक)

टीएलएस/प्रमाणपत्र - 20 (टीएलएस 1। 2/1. 3, ECDHE + AES-GCM/ChaCha20, CT, HSTS)
भुगतान/पीसीआई - 25 (PSP-iframe/redirect, टोकन, 3-DS 2। x, कोई पैन/सीवीवी भंडारण नहीं)
Sessions/2FA - 15 (Passkeys/TOTP, सुरक्षित कुकीज़, डिवाइस प्रबंधन)
फ्रंट प्रोटेक्शन - 10 (सीएसपी, रेफरर-पॉलिसी, फ्रेम-पूर्वजों, चेकआउट में कोई थर्ड-पार्टी स्क्रिप्ट नहीं)
केवाईसी/गोपनीयता - 10 (कैबिनेट अपलोड, भंडारण समय, ई-मेल निषेध)
लाइसेंस/रजिस्ट्री - 10 (रजिस्ट्री में क्लिक करें, कानूनी इकाई/डोमेन से मेल खाएं)
मोबाइल - 5 (कोई एआरसी/एक्सटेंशन नहीं, अधिकारी। stori)
भुगतान की पारदर्शिता - 5 (विधियाँ, न्यूनतम/अधिकतम, आयोग, एसएलए, समान-विधि)
व्याख्या: ≥85 एक मजबूत सिफारिश है; 75-84 - फिट; 60-74 - औसत; <60 - बचें।

10) लाल झंडे (तुरंत अतीत)

लॉगिन/भुगतान पृष्ठों पर कोई HTTPS नहीं, मिश्रित सामग्री
टीएलएस 1। 0/1. 1, पुराने सिफर, स्व-हस्ताक्षरित/समाप्त प्रमाणपत्र।
साइट के डोम में कार्ड फ़ील्ड (और इफ्रेम पीएसपी में नहीं); चैट/मेल पर एक फोटो कार्ड/केयूएस भेजने का अनुरोध।
कोई 3-डी सुरक्षित 2, कोई टोकन नहीं; पैन/सीवीवी को खाते में सहेजा जा रहा है।
नहीं 2FA/Passkeys; 'Httpown/Secure' के बिना कुकी।
खेल/भुगतान के लिए एसीए/संवर्द्धन की आवश्यकता होती है।
आंकड़ा प्रतिधारण/अंतरण के बिना गोपनीयता नीति।

11) सत्यापन कार्ड टेम्पलेट (एक साइट में भरें)

डोमेन/लाइसेंस/रजिस्ट्री लिंक:
• टीएलएस/प्रमाणपत्र: संस्करण/सिफर/सीए/टर्म/एचएसटीएस/सीटी
• भुगतान: PSP-iframe/redirect/ 3-DS 2/tokenization/methers और SLA/sem-methy
• खाता: 2FA/Passkeys/secure कुकी/सत्र प्रबंधन
• KYC/गोपनीयता: कैबिनेट अपलोड/शेल्फ जीवन/निषेध ई-मेल
• फ्रंट डिफेंस: CSP/फ्रेम-पूर्वजों/रेफरर-पॉलिसी
• मोबाइल: कार्यालय। स्टोर/कोई ARA/एक्सटेंशन नहीं
अंतिम स्कोर (0-100):
• 12) FAQ (लघु)

ताला = सुरक्षित? नहीं, यह नहीं है। टीएलएस संस्करण, सिफर, प्रमाणपत्र, एचएसटीएस देखें और भुगतान फॉर्म कैसे बनाया जाता है।
क्या मैं साइट पर ही एक नक्शा दर्ज कर सकता हूं? सुरक्षित - iframe/redirect PSP के माध्यम से। यदि साइट खुद पैन को संभालती है, तो उसे पीसीआई डीएसएस (दुर्लभ) का पालन करना चाहिए।
SMS-2FA मानदंड? बेहतर TOTP/FIDO; एसएमएस एक नतीजा है।
केवाईसी दस्तावेज़ चैट करने के लिए? नहीं, यह नहीं है। केवल HTTPS पर कैबिनेट बूटलोडर के माध्यम से।

परिणाम

डेटा और भुगतानों का सुरक्षित इनपुट "एड्रेस बार में ताला" नहीं है, बल्कि संकेतों का एक सेट है: आधुनिक टीएलएस, एचएसटी, आश्चर्य के बिना एक प्रमाणपत्र, टोकन के साथ पीएसपी से भुगतान प्रपत्र और 3-डी सुरक्षित सत्र। 15 मिनट का ऑडिट लें, साइट को 100-पॉइंट मैट्रिक्स पर रेट करें और लाल झंडे वाली परियोजनाओं को काट दें - इस तरह आप पैसे के लिए खेलते समय अवरोधन और डेटा रिसाव के जोखिम को कम करते हैं।