Სადაც უსაფრთხოა მონაცემების და გადახდების დანერგვა - SSL, დაშიფვრა

1) საიტის უსაფრთხოების ძირითადი მინიმუმი

TLS მხოლოდ 1. 2/1. 3 (არა 1. 0/1. 1).

თანამედროვე შიფრები: ECDHE AES-GCM ან ChaCha20-Poly1305 (პერფი. მობილური).

PFS (Perfect Forward Secrecy) — через ECDHE.

ამჟამინდელი სერთიფიკატი (SHA-256), RSA-2048 გასაღები ან ECDSA P-256/384.

HSTS (+ სასურველია preloaded): HTTPS- ის მკაცრი იძულება.

HTTPS- დან HTTPS- ის რედაქცია გამონაკლისის გარეშე.

Certificate Transparence (SCT) - სერთიფიკატის დეტალები ჩანს.

2) როგორ შევამოწმოთ სერთიფიკატი 30-60 წამში

• ვისთვისაც გაიცემა = ზუსტი დომენი/ქვე-დომენი (SAN).
• ვინ არის გაცემული - ცნობადი CA.
• ვადა - არ ამოიწურა/არა „ხვალ“.

• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• HTTPS გვერდზე არ არის „mixed შინაარსი“ (HTTPS სურათი/სკრიპტები).
• 3. გახსენით გადახდის გვერდი: ფორმის დომენი ემთხვევა საიტს ან ეს არის ცნობილი PSP iframe.

3) უსაფრთხო გადახდები: რა ითვლება ნორმად

PCI DSS: საიტი არ აგროვებს PAN/CVV თავისთავად - ბარათების ველები მასპინძელი fields/iframe PSP ან პროვაიდერის გადახდის გვერდზე.

ტოკენიზაცია: ბარათი იქცევა ნიშნად; საიტზე განთავსებულია მხოლოდ „last4“ და ნიშანი, არასდროს CVV.

3-D Secure 2. x/SCA: დადასტურება/ბიომეტრია ბანკში.

Apple Pay/Google Pay: ქსელის ნიშნები, ხელების მინიმალური შეყვანა.

საბანკო ანგარიშის მეთოდები (PayID/Osko, ა.შ.): ნაჩვენებია ზუსტი დეტალები და დაკრედიტების დადასტურება; არ არის მოთხოვნა „ბარათის ეკრანის გაგზავნა ჩეთში“.

კრიპტოგრაფიული გადასახადები: მისამართი/QR წარმოიქმნება PSP გვერდზე, თანხა/ქსელი ასახულია, არსებობს გაფრთხილება ქსელისა და კომისიების შესახებ.

4) სესიები და ლოგინები

Passkeys/FIDO2 ან 2FA (TOTR/app, FIDO გასაღები; SMS - სათადარიგო ვარიანტი).

Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; auto-logauto taimauta.

მოწყობილობების მართვა: აქტიური სესიების სია, გასასვლელი „ყველა მოწყობილობიდან“.

პაროლის შესასვლელი/შეცვლის ალერტები ელექტრონული ფოსტის/იარაღის საშუალებით.

5) წინა და უკანა დაცვა (არაპირდაპირი მარკერები)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (anti-clicjecking).

მესამე მხარის „მარცხენა“ სკრიპტების გარეშე გადახდის გვერდზე (ანტი-სკიმერი/მაგეკარტი).

შეზღუდვა/მონაცემთა გაცვლა: პროფილში ნაჩვენებია მხოლოდ „last4“ და შენიღბული ელექტრონული ფოსტის/ტელეფონი.

6) KUS/დოკუმენტები - რამდენად უსაფრთხოა ჩამოტვირთვა

მხოლოდ დაცული კაბინეტის საშუალებით (HTTPS/TLS 1. 2 +) დატვირთვით; არ გაგზავნოთ დოკუმენტები ჩეთ/ფოსტით.

მხარდაჭერილი ფორმატები (PDF/JPG/PNG), ზომების ლიმიტი, აშკარა შენახვის/მოცილების პოლიტიკა.

წყლის ნიშნები („მხოლოდ KYC\[ საიტი ]\[ თარიღი]“), ფარული ბარათების ნომრები/QR.

პირადი პოლიტიკა: შენახვის ვადა, მესამე მხარის გადაცემა (KYC პროვაიდერი), შენახვის ქვეყანა.

7) მობილური და პროგრამები

ARC/გაფართოების გარეშე: ითამაშეთ ბრაუზერში (HTML5) ან ოფიციალურ მაღაზიებში (App Store/Google Play).

განაცხადის უფლებები მინიმალურია; არა „SMS/კონტაქტები/ზარები“.

საზოგადოებრივი Wi-Fi - მხოლოდ VPN- ით და KUS/ბარათის შეყვანის გარეშე.

AUS/ბრაუზერის განახლება ჩართულია.

8) საიტის სწრაფი აუდიტი (15 წუთი)

1. ლიცენზია/რეესტრი (2 წთ): საიტზე არის ნომერი და დაწკაპუნება, რეესტრი ემთხვევა იურიდიულ/დომენს.

2. TLS/სერთიფიკატი (2 წუთი): ციხე-სერთიფიკატი (SAN, ვადა, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.

3. HSTS/redirects (1 წუთი): იძულებითი HTTPS, არ არსებობს HTTP ვერსიები პირადი ანგარიშის/სალაროების შესახებ.

4. გადახდის ფორმა (4 წთ): hosted fields/iframe PSP, არა 'name = „cardnumber“ საიტის კოდში; 3-D Secure 2. x; ტოქსიკაცია; გამოქვეყნებულია SLA გადახდების მეთოდები.

5. ანგარიში (3 წუთი): ჩართეთ 2FA/Passkeys; შეამოწმეთ შეყვანის/მოწყობილობების ლოგოები; Cukes 'Only/Secure'.

6. KYC (3 წთ): მტვირთავი ოფისში, კერძო პოლიტიკის პოლიტიკა, ელექტრონული ფოსტის გაგზავნის აკრძალვა.

9) უსაფრთხოების შეფასების მატრიცა (100 ქულა)

TLS/სერთიფიკატი - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)

გადახდები/PCI - 25 (PSP-iframe/redirect, ტოკენიზაცია, 3-DS 2. x, PAN/CVV შენახვის გარეშე)

სესიები/2FA - 15 (Passkeys/TOTP, secure cookies, მოწყობილობების მენეჯმენტი)

წინა დაცვა - 10 (CSP, referrer-policy, frame-ancestors, არ არსებობს მესამე მხარის სკრიპტები სალაროებში)

KYC/Privacy - 10 (კაბინეტის აპლოდისმენტი, შენახვის დრო, ელექტრონული ფოსტის აკრძალვა)

ლიცენზია/რეესტრი - 10 (კლიშე რეესტრში, იურიდიული პირის/დომენის დამთხვევა)

მობილური - 5 (არა ARC/გაფართოება, ოფისები. stors)

გადახდების გამჭვირვალობა - 5 (მეთოდები, min/max, საკომისიო, SLA, same-method)

ინტერპრეტაცია: 85 ევრო - ძლიერი რეკომენდაცია; 75-84 - შესაფერისი; 60-74 - საშუალოდ; <60 - თავიდან აცილება.

10) წითელი დროშები (დაუყოვნებლივ)

HTTPS არ არსებობს ლოგინის/გადახდის გვერდებზე, შერეული შინაარსი.

TLS 1. 0/1. 1, მოძველებული შიფრები, თვითწერილი/დახვეწილი სერთიფიკატი.

კარტის ველები DOM ვებსაიტზე (და არა iframe PSP); გთხოვთ გაგზავნოთ ბარათის/KUS ფოტო ჩეთ/ფოსტით.

არა 3-D Secure 2, არ არსებობს ტოკენიზაცია; PAN/CVV შენახვა ანგარიშში.

არა 2FA/Passkeys; Cooks 'Only/Secure'.

ისინი მოითხოვენ ARC/გაფართოებას თამაშის/გადახდისთვის.

კონფიდენციალურობის პოლიტიკა შენახვის/მონაცემთა გადაცემის გარეშე.

11) შემოწმების ბარათის შაბლონი (შეავსეთ ერთი საიტი)

• TLS/სერთიფიკატი: ვერსია/კოდი/CA/ვადა/HSTS/CT
• გადახდები: PSP-iframe/redirect/3-DS 2/ტოქსიკაცია/მეთოდები და SLA/same-method
• ანგარიში: 2FA/Passkeys/secure cookies/სხდომების მენეჯმენტი
• KYC/Privacy: კაბინეტის ტაში/შენახვის ვადა/ელექტრონული ფოსტის აკრძალვა
• წინა დაცვა: CSP/frame-ancestors/referrer-policy
• მობილური: ოფისი. Stors/არა ARC/გაფართოება

• 12) FAQ (მოკლედ)

ციხე = უსაფრთხო? არა. იხილეთ TLS ვერსია, კოდი, სერთიფიკატი, HSTS და როგორ არის ჩაშენებული გადახდის ფორმა.

შეგიძლიათ შეიყვანოთ ბარათი თავად საიტზე? უსაფრთხოა - iframe/redirect PSP- ის საშუალებით. თუ საიტი თავად ამუშავებს PAN- ს, ის უნდა შეესაბამებოდეს PCI DSS (იშვიათობა).

SMS-2FA სტანდარტები? უკეთესი TOTP/FIDO; SMS - სათადარიგო ვარიანტი.

დოკუმენტები KYC- ს ჩატის შესახებ? არა. მხოლოდ HTTPS- ზე კაბინეტის ჩატვირთვის საშუალებით.

შედეგი

მონაცემთა და გადახდების უსაფრთხო შეყვანა არ არის „საკეტი მისამართის ზოლში“, არამედ მახასიათებლების ერთობლიობა: თანამედროვე TLS, HSTS, სიურპრიზების გარეშე სერთიფიკატი, გადახდის ფორმები PSP- სგან ტოქსიკაციით და 3-D Secure 2, 2FA/Passkeys, დაცული სესიები და კაბინეტი აპლოდისმენტები. გაიარეთ 15 წუთიანი აუდიტი, შეაფასეთ საიტი 100-ქულიანი მატრიცით და შეწყვიტეთ პროექტები წითელი დროშებით - ასე რომ, თქვენ მინიმუმამდე დაიყვანთ მონაცემთა ჩარევისა და გაჟონვის რისკს ფულის თამაშისას.