データと支払いを安全に入力する場所-SSL、暗号化

1）基本的なサイトセキュリティ最小

TLSのみ1。2/1.3 （no 1。0/1.1).
現代暗号：AES-GCMまたはChaCha20-Poly1305付きECDHE（ペン。モバイルで）。
PFS （Perfect Forward Secrecy）-ECDHE。
有効な証明書（SHA-256）、 RSAキー≥ 2048またはECDSA P-256/384。
HSTS（+preloaded）： HTTPSのハードな強制。
例外なくHTTPからHTTPSにリダイレクトします。
証明書の透明性（SCT）-証明書の詳細に表示されます。

2）証明書を30〜60秒で検証する方法

1.［ロック］→［証明書］をクリックします：

=exact domain/subdomain （SAN）に発行されます。
によって発行-認識可能なCA。
締め切りは「明日」ではなく、期限切れではありません。
2.■DevTools→Security：

TLS 1。2/1.3、 ECDHE AES-GCM/ChaCha20。
「混合コンテンツ」（HTTPSページのHTTP画像/スクリプト）はありません。
3.支払いページを開きます：フォームドメインがサイトにマッチするか、iframeでよく知られているPSPです。

3）保護された支払い：標準と見なされるもの

PCI DSS：サイトはPAN/CVV自体を収集しません-ホストフィールド/iframe PSP内のカードフィールドまたはプロバイダの支払いページにリダイレクトします。
トークン化：カードはトークンに変わります。サイトは「last4」とトークンを格納するだけで、決してCVVはありません。
3-Dセキュア2。x/SCA：銀行でのプッシュ確認/生体認証。
Apple Pay/Google Pay：ネットワークトークン、最低限の手動入力。
銀行口座の方法（PayID/Oskoなど）：正確な詳細とクレジットの確認が表示されます。「チャットにカード画面を送信する」というリクエストはありません。
暗号決済：アドレス/QRはPSPページで生成され、金額/ネットワークが登録され、ネットワークと手数料に関する警告があります。

4）セッションとログイン

パスキー/FIDO2または2FA （TOTP/app、 FIDOキー；SMSはフォールバックである）。
"セキュア""、HttpOnly""、SameSite=Lax/Strict'；タイムアウトによる自動ログアウト。
デバイス管理：アクティブなセッションのリスト、終了「すべてのデバイスから」。
パスワードログイン/アラートを電子メール/プッシュで変更します。

5）フロントエンドおよびバックエンド保護（間接マーカー）

CSP （Content-Security-Policy）、 X-Content-Type-Options、 Referrer-Policy、 frame-ancestors （anti-clickjacking）。
支払いページ（アンチスキマー/Magecart）にサードパーティの「左」スクリプトがありません。
制限/マスキングデータ：プロファイルには「last4」と偽装された電子メール/電話のみが表示されます。

6） CCM/ドキュメント-安全に読み込む方法

安全なキャビネット（HTTPS/TLS 1。2+）ローダー付き。チャット/メールにドキュメントを送信しないでください。
サポートされているフォーマット（PDF/JPG/PNG）、サイズ制限、明示的な保持/削除ポリシー。
透かし（「KYC only\［ site］\［date］」）、隠しカード番号/QR。
プライバシーポリシー：保存期間、第三者への転送（KYCプロバイダー）、ストレージの国。

7）モバイルとアプリ

ARC/拡張機能なし：ブラウザ（HTML5）または公式ストア（App Store/Google Play）で再生します。
アプリケーションの権利は最小限です。「SMS/連絡先/通話」はありません。
パブリックWi -Fi-VPNのみで、CUS/カードに入らない。
OS/ブラウザの自動更新が有効になります。

8）速い場所の監査（15分）

1.ライセンス/レジストリ（2分）：サイト上-番号とクリックすると、レジストリ内の法人/ドメインが一致します。
2.TLS/証明書（2分）：ロック→証明書（SAN、用語、CA）；DevTools→TLS 1。2/1.3、 ECDHE+AES-GCM/ChaCha20。
3.HSTS/リダイレクト （1分）：強制HTTPS、パーソナルアカウント/キャッシュレジスタのHTTPバージョンはありません。
4.支払いフォーム（4分）：ホストフィールド/iframe PSP、 no 'name=「cardnumber」サイトコード；3-Dセキュア2。x；トークン化；メソッドとSLAの支払いが公開されました。
5.アカウント（3分）：2FA/Passkeysをオンにします。入力/デバイスのログを確認します。'HttpOnly/Secure'クッキー。
6.KYC （3分）：キャビネットブートローダー、プライバシーポリシー、電子メールによる送信の禁止。

9）安全マトリックス（100ポイント）

TLS/証明書-20 （TLS 1。2/1.3、 ECDHE+AES-GCM/ChaCha20、 CT、 HSTS）
支払い/PCI-25 （PSP-iframe/リダイレクト、トークン化、3-DS 2。x、 PAN/CVVストレージなし）
Sessions/2FA-15 （パスキー/TOTP、セキュアクッキー、デバイス管理）
フロントプロテクション-10 （CSP、リファラーポリシー、フレーム先祖、チェックアウト時のサードパーティスクリプトなし）
KYC/プライバシー-10（キャビネットアップロード、保存時間、電子メール禁止）
ライセンス/レジストリ-10（レジストリをクリックし、法人/ドメインにマッチ）
モバイル-5 （ARC/拡張機能なし、公式。stori）
支払いの透明性-5（メソッド、分/最大、手数料、SLA、同じ方法）
解釈：≥ 85は強い推薦です；75-84-適合；60-74-平均；<60-避ける。

10）赤旗（直ちに通過）

ログイン/支払いページ、混在コンテンツにHTTPSはありません。
TLS 1。0/1.1、古くなった暗号、自己署名された/期限切れの証明書。
サイトのDOM内のカードフィールド（iframe PSPではなく）；チャット/メールにフォトカード/KUSを送信する要求。
3-Dセキュア2なし、トークン化なし。PAN/CVVをアカウントに保存します。
2FA/Passkeysはありません。'HttpOnly/Secure'なしのクッキー。
ゲーム/支払いにACA/拡張機能が必要です。
データ保持/転送なしのプライバシーポリシー。

11）確認カードテンプレート（1つのサイトに記入）

ドメイン/ライセンス/レジストリリンク：
TLS/証明書：バージョン/暗号/CA/用語/HSTS/CT
支払い：PSP-iframe/redirect/ 3-DS 2/tokenization/methodsおよびSLA/same-method
アカウント：2FA/Passkeys/secureクッキー/セッション管理
KYC/プライバシー：キャビネットアップロード/保存期間/禁止電子メール
フロントディフェンス：CSP/フレーム祖先/リファラーポリシー
モバイル：オフィス。stores/no ARA/extensions
最終スコア（0-100）：

12） FAQ（短い）

ロック=安全ですか？いいえ、そうではありません。TLSバージョン、暗号、証明書、HSTS、および支払いフォームの組み込み方法を参照してください。
サイト自体で地図を入力することはできますか？より安全-iframe/リダイレクト PSP経由。サイトがPAN自体を処理する場合、PCI DSS（まれ）に準拠する必要があります。
SMS-2FA規範か？よりよいTOTP/FIDO；SMSはフォールバックです。
チャットするKYCドキュメント？いいえ、そうではありません。HTTPSのキャビネットのブートローダーを通してだけ。

［結果］

データと支払いの安全な入力は「アドレスバーにロック」ではなく、サインのセットです。現代のTLS、 HSTS、驚きのない証明書、トークン化と3Dセキュア2、 2FA/Passkeys、セキュアセッションとキャビネットKYC aploadでPSPからの支払いフォーム。15分間の監査を受け、100ポイントのマトリックスでサイトを評価し、赤い旗でプロジェクトを切り取ります。このようにして、お金を稼ぐときに傍受とデータ漏洩のリスクを最小限に抑えます。