Dove inserire dati e pagamenti in modo sicuro - SSL, crittografia

1) Minimo di sicurezza di base del sito

TLS solo 1. 2/1. 3 (niente 1. 0/1. 1).
Codici moderni: ECDHE con AES-GCM o ChaCha20-Poly1305 (perf. sul mobile).
PFS (Perfect Forward Secrecy) — через ECDHE.
Certificato valido (SHA-256), chiave RSA ≥2048 o ECDSA P-256/384.
HSTS (+ preferibilmente perfoaded) è una stretta per HTTPS.
Redirett con HTTP su HTTPS senza eccezioni.
Certificate Transparency (SCT) - È visibile nei dettagli del certificato.

2) Come verificare il certificato in 30-60 secondi

1. Clicca sù serratura "su Certificato:

• A chi è stato dato = dominio/sottomisura esatto (SAN).
• Chi è stato rilasciato è un CA riconoscibile.
• La scadenza non è scaduta, non è domani.
2. В DevTools → Security:
• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• Nessun «mixed content» (immagini HTTP/script nella pagina HTTPS).
• 3. Apri la pagina di pagamento: il dominio del modulo corrisponde al sito o è un PSP noto in iframe.

3) Pagamenti protetti: cosa considerare la norma

PCI DSS: il sito web non raccoglie PAN/CVV da solo - i campi della mappa all'interno dell'host fields/iframe PSP o reading sulla pagina di pagamento del provider.
Tornitura: la mappa diventa un token; il sito contiene solo «last4» e token, mai CVV.
3-D Secure 2. x/SCA: collaudo/biometria in banca.
Apple Pay/Google Pay: token di rete, immissione minima con le mani.
Metodi di account bancario (PayID/Osko, ecc) - Visualizza le informazioni esatte e la conferma dell'iscrizione; Non c'è nessuna richiesta dì mandare la mappa alla chat ".
Crittografia: indirizzo/QR generato nella pagina PSP, l'importo/rete è scritto, c'è un avviso di rete e di commissione.

4) Sessioni e login

Passkeys/FIDO2 o 2FA (TOTR/APP, chiave FIDO; SMS - opzione di riserva).
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; logout automatico per timeout.
Gestione dispositivi: elenco delle sessioni attive, uscita da tutte le periferiche.
Alert di accesso/cambio password tramite e-mail/pash.

5) Protezione frontale e backend (marcatori indiretti)

CSP (Content-Security-Policy), X-Content-Type-Options, Referer-Policy, frame-ancestors (anti-clickjecking).
Senza script di sinistra in una pagina di pagamento (anti-skimmer/Magecart).
Vincolo/masking dei dati: il profilo mostra solo «last4» e un telefono e-mail mascherato.

6) CUS/documenti - come scaricare in sicurezza

Solo attraverso uno studio protetto (HTTPS/TLS 1. 2 +) con caricatore; non inviare i documenti alla chat/posta.
Formati supportati (PDF/JPG/PNG), limite di dimensioni e criteri espliciti di conservazione/eliminazione.
Filigrana («solo KYC\[ sito ]\[ data]»), numeri di schede nascosti/QR.
Criteri Privacy: periodo di conservazione, trasferimento a terzi (KYC), paese di storage.

7) Mobile e applicazioni

Senza ARC/estensioni: gioca nel browser (HTML5) o nei negozi ufficiali (App Store/Google Play).
Diritti dell'applicazione - minimi; Niente «SMS/contatti/chiamate».
Wi-Fi pubblico - solo con VPN e senza l'inserimento di un CUS/mappa.
Aggiornamenti automatici del sistema operativo/browser attivati.

8) Controllo rapido del sito (15 minuti)

1. Licenza/Registro (2 min): numero e click sul sito Web; il Registro contiene giurisprudenza/dominio.
2. TLS/certificato (2 min): serratura del certificato (SAN, scadenza, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/Ready (1 min) - HTTPS obbligatorio, nessuna versione HTTP dello studio/biglietteria personale.
4. Modulo di pagamento (4 min): hosted fields/iframe PSP, nò name = «cardnumber» nel codice del sito; 3-D Secure 2. x; Tornitura metodi e pagamenti SLA pubblicati.
5. Account (3 min): abilita 2FA/Passkeys; Controlla i loghi di accesso/periferica; cookie «HttpOnly/Secure».
6. KYC (3 min) - Caricatore nello studio, criterio Privacy, divieto di invio via e-mail.

9) Matrice di valutazione della sicurezza (100 punti)

TLS/certificato - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
Pagamenti/PCI - 25 (PSP-iframe/redirect, tokening, 3-DS 2. x, senza storage PAN/CVV)
Sessioni/2FA - 15 (Passkeys/TOTP, secure cookies, gestione dispositivi)
Fronte-protezione - 10 (CSP, referrer-policy, frame-ancestors, nessun script di terze parti sulla cassa)
KYC/Privacy - 10 (appload, conservazione, e-mail proibito)
Licenza/registro - 10 (click nel registro, corrispondenza giurisprudenza/dominio)
Mobile - 5 (niente ARC/estensioni, Ophitz. store)
Trasparenza dei pagamenti - 5 (metodi, min/max, commissioni, SLA, same-method)
Interpretazione: ≥85 è una forte raccomandazione; 75-84 - idoneo; 60-74 - media; <60 - Evitare.

10) Bandiere rosse (giù subito)

Nessun HTTPS nelle pagine login/pagamenti, contenuti misti.
TLS 1. 0/1. 1, codici obsoleti, certificati autosospesi/decaduti.
Campi di carte nel DON del sito (non in iframe PSP); richiedere di inviare una foto della carta/CUS alla chat/posta elettronica.
Nessun 3-D Secure 2, nessun torning; salva PAN/CVV sull'account.
Nessun 2FA/Passkeys; cookie senza «HttpOnly/Secure».
Richiedono ARC/estensione per gioco/pagamento.
Regole di privacy senza conservazione/trasferimento dei dati.

11) Modello di tessera di convalida (compilare per sito)

Dominio/licenza/collegamento al registro:
• TLS/certificato: versione/cifrario/CA/scadenza/HSTS/CT
• Pagamenti: PSP-iframe/redirect/3-DS 2/torning/metodi e SLA/same-method
• Account 2FA/Passkeys/secure cookies/gestione sessioni
• KYC/Privacy: appload di ufficio/periodo di conservazione/e-mail proibito
• Fronte-protezione: CSP/frame-ancestors/referrer-policy
• Mobile, Ophitz. store/nessun ARC/estensioni
Punteggio finale (0-100):
• 12) FAQ (breve)

Castello = sicuro? No, no. Vedi la versione TLS, il codice, il certificato, HSTS e come è incorporato il modulo di pagamento.
Posso inserire la mappa sul sito? Più sicuro tramite iframe/redirett PSP. Se il sito gestisce il PAN stesso, deve corrispondere al DSS PCI (raro).
Norme SMS-2FA? Meglio TOTP/FIDO; Gli SMS sono di riserva.
Documenti di KYC in chat? No, no. Solo tramite il download di ufficio su HTTPS.

Totale

L'immissione sicura di dati e pagamenti non è una serratura all'indirizzo, ma un insieme di segni: TLS, HSTS, certificati senza sorprese, moduli di pagamento da PSP con torneggio e 3-D Secure 2, 2FA/Passkeys, sessioni protette e KIC-appload. Fare un controllo di 15 minuti, valutare il sito in base a una matrice di 100 punti e ritagliare i progetti con le bandiere rosse, riducendo al minimo il rischio di intercettazione e perdita di dati quando giochi con il denaro.