データと支払いを安全に入力する場所-SSL、暗号化
1)基本的なサイトセキュリティ最小
TLSのみ1。2/1.3 (no 1。0/1.1).
現代暗号:AES-GCMまたはChaCha20-Poly1305付きECDHE(ペン。モバイルで)。
PFS (Perfect Forward Secrecy)-ECDHE。
有効な証明書(SHA-256)、 RSAキー≥ 2048またはECDSA P-256/384。
HSTS(+preloaded): HTTPSのハードな強制。
例外なくHTTPからHTTPSにリダイレクトします。
証明書の透明性(SCT)-証明書の詳細に表示されます。
2)証明書を30〜60秒で検証する方法
1.[ロック]→[証明書]をクリックします:- =exact domain/subdomain (SAN)に発行されます。
- によって発行-認識可能なCA。
- 締め切りは「明日」ではなく、期限切れではありません。
- TLS 1。2/1.3、 ECDHE AES-GCM/ChaCha20。
- 「混合コンテンツ」(HTTPSページのHTTP画像/スクリプト)はありません。
- 3.支払いページを開きます:フォームドメインがサイトにマッチするか、iframeでよく知られているPSPです。
3)保護された支払い: 標準と見なされるもの
PCI DSS:サイトはPAN/CVV自体を収集しません-ホストフィールド/iframe PSP内のカードフィールドまたはプロバイダの支払いページにリダイレクトします。
トークン化:カードはトークンに変わります。サイトは「last4」とトークンを格納するだけで、決してCVVはありません。
3-Dセキュア2。x/SCA:銀行でのプッシュ確認/生体認証。
Apple Pay/Google Pay:ネットワークトークン、最低限の手動入力。
銀行口座の方法(PayID/Oskoなど):正確な詳細とクレジットの確認が表示されます。「チャットにカード画面を送信する」というリクエストはありません。
暗号決済:アドレス/QRはPSPページで生成され、金額/ネットワークが登録され、ネットワークと手数料に関する警告があります。
4)セッションとログイン
パスキー/FIDO2または2FA (TOTP/app、 FIDOキー;SMSはフォールバックである)。
"セキュア""、HttpOnly""、SameSite=Lax/Strict';タイムアウトによる自動ログアウト。
デバイス管理:アクティブなセッションのリスト、終了「すべてのデバイスから」。
パスワードログイン/アラートを電子メール/プッシュで変更します。
5)フロントエンドおよびバックエンド保護(間接マーカー)
CSP (Content-Security-Policy)、 X-Content-Type-Options、 Referrer-Policy、 frame-ancestors (anti-clickjacking)。
支払いページ(アンチスキマー/Magecart)にサードパーティの「左」スクリプトがありません。
制限/マスキングデータ:プロファイルには「last4」と偽装された電子メール/電話のみが表示されます。
6) CCM/ドキュメント-安全に読み込む方法
安全なキャビネット(HTTPS/TLS 1。2+)ローダー付き。チャット/メールにドキュメントを送信しないでください。
サポートされているフォーマット(PDF/JPG/PNG)、サイズ制限、明示的な保持/削除ポリシー。
透かし(「KYC only\[ site]\[date]」)、隠しカード番号/QR。
プライバシーポリシー:保存期間、第三者への転送(KYCプロバイダー)、ストレージの国。
7)モバイルとアプリ
ARC/拡張機能なし:ブラウザ(HTML5)または公式ストア(App Store/Google Play)で再生します。
アプリケーションの権利は最小限です。「SMS/連絡先/通話」はありません。
パブリックWi -Fi-VPNのみで、CUS/カードに入らない。
OS/ブラウザの自動更新が有効になっています。
8)速い場所の監査(15分)
1.ライセンス/レジストリ(2分):サイト上-番号とクリックすると、レジストリ内の法人/ドメインが一致します。
2.TLS/証明書(2分):ロック→証明書(SAN、用語、CA);DevTools→TLS 1。2/1.3、 ECDHE+AES-GCM/ChaCha20。
3.HSTS/リダイレクト (1分):強制HTTPS、パーソナルアカウント/キャッシュレジスタのHTTPバージョンはありません。
4.支払いフォーム(4分):ホストフィールド/iframe PSP、 no 'name=「cardnumber」サイトコード;3-Dセキュア2。x;トークン化;メソッドとSLAの支払いが公開されました。
5.アカウント(3分):2FA/Passkeysをオンにします。入力/デバイスのログを確認します。'HttpOnly/Secure'クッキー。
6.KYC (3分):キャビネットブートローダー、プライバシーポリシー、電子メールによる送信の禁止。
9)安全マトリックス(100ポイント)
TLS/証明書-20 (TLS 1。2/1.3、 ECDHE+AES-GCM/ChaCha20、 CT、 HSTS)
支払い/PCI-25 (PSP-iframe/リダイレクト、トークン化、3-DS 2。x、 PAN/CVVストレージなし)
Sessions/2FA-15 (パスキー/TOTP、セキュアクッキー、デバイス管理)
フロントプロテクション-10 (CSP、リファラーポリシー、フレーム先祖、チェックアウト時のサードパーティスクリプトなし)
KYC/プライバシー-10(キャビネットアップロード、保存時間、電子メール禁止)
ライセンス/レジストリ-10(レジストリをクリックし、法人/ドメインにマッチ)
モバイル-5 (ARC/拡張機能なし、公式。stori)
支払いの透明性-5(メソッド、分/最大、手数料、SLA、同じ方法)
解釈:≥ 85は強い推薦です;75-84-適合;60-74-平均;<60-避ける。
10)赤旗(直ちに通過)
ログイン/支払いページ、混在コンテンツにHTTPSはありません。
TLS 1。0/1.1、古くなった暗号、自己署名された/期限切れの証明書。
サイトのDOM内のカードフィールド(iframe PSPではなく);チャット/メールにフォトカード/KUSを送信する要求。
3-Dセキュア2なし、トークン化なし。PAN/CVVをアカウントに保存します。
2FA/Passkeysはありません。'HttpOnly/Secure'なしのクッキー。
ゲーム/支払いにACA/拡張機能が必要です。
データ保持/転送なしのプライバシーポリシー。
11)確認カードテンプレート(1つのサイトに記入)
ドメイン/ライセンス/レジストリリンク:- TLS/証明書:バージョン/暗号/CA/用語/HSTS/CT
- 支払い:PSP-iframe/redirect/ 3-DS 2/tokenization/methodsおよびSLA/same-method
- アカウント:2FA/Passkeys/secureクッキー/セッション管理
- KYC/プライバシー:キャビネットアップロード/保存期間/禁止電子メール
- フロントディフェンス:CSP/フレーム祖先/リファラーポリシー
- モバイル:オフィス。stores/no ARA/extensions
- 12) FAQ(短い)
ロック=安全ですか?いいえ、そうではありません。TLSバージョン、暗号、証明書、HSTS、および支払いフォームの組み込み方法を参照してください。
サイト自体で地図を入力することはできますか?より安全-iframe/リダイレクト PSP経由。サイトがPAN自体を処理する場合、PCI DSS(まれ)に準拠する必要があります。
SMS-2FA規範か?よりよいTOTP/FIDO;SMSはフォールバックです。
チャットするKYCドキュメント?いいえ、そうではありません。HTTPSのキャビネットのブートローダーを通してだけ。
[結果]
データと支払いの安全な入力は「アドレスバーにロック」ではなく、サインのセットです。現代のTLS、 HSTS、驚きのない証明書、トークン化と3Dセキュア2、 2FA/Passkeys、セキュアセッションとキャビネットKYC aploadでPSPからの支払いフォーム。15分間の監査を受け、100ポイントのマトリックスでサイトを評価し、赤い旗でプロジェクトを切り取ります。このようにして、お金を稼ぐときに傍受とデータ漏洩のリスクを最小限に抑えます。
