Სადაც უსაფრთხოა მონაცემების და გადახდების დანერგვა - SSL, დაშიფვრა
💡მიზანია სწრაფად გამოყოს საიტები, სადაც შეგიძლიათ უსაფრთხოდ შეიტანოთ პირადი/გადახდის მონაცემები, ჩარევის, ფიშინგის და გაჟონვის რისკების მქონე საიტებიდან.
1) საიტის უსაფრთხოების ძირითადი მინიმუმი
TLS მხოლოდ 1. 2/1. 3 (არა 1. 0/1. 1).
თანამედროვე შიფრები: ECDHE AES-GCM ან ChaCha20-Poly1305 (პერფი. მობილური).
PFS (Perfect Forward Secrecy) — через ECDHE.
ამჟამინდელი სერთიფიკატი (SHA-256), RSA-2048 გასაღები ან ECDSA P-256/384.
HSTS (+ სასურველია preloaded): HTTPS- ის მკაცრი იძულება.
HTTPS- დან HTTPS- ის რედაქცია გამონაკლისის გარეშე.
Certificate Transparence (SCT) - სერთიფიკატის დეტალები ჩანს.
2) როგორ შევამოწმოთ სერთიფიკატი 30-60 წამში
1. დააჭირეთ „საკეტს“ სერთიფიკატს:
- ვისთვისაც გაიცემა = ზუსტი დომენი/ქვე-დომენი (SAN).
- ვინ არის გაცემული - ცნობადი CA.
- ვადა - არ ამოიწურა/არა „ხვალ“. 2. В DevTools → Security:
- TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
- HTTPS გვერდზე არ არის „mixed შინაარსი“ (HTTPS სურათი/სკრიპტები).
- 3. გახსენით გადახდის გვერდი: ფორმის დომენი ემთხვევა საიტს ან ეს არის ცნობილი PSP iframe.
- TLS/სერთიფიკატი: ვერსია/კოდი/CA/ვადა/HSTS/CT
- გადახდები: PSP-iframe/redirect/3-DS 2/ტოქსიკაცია/მეთოდები და SLA/same-method
- ანგარიში: 2FA/Passkeys/secure cookies/სხდომების მენეჯმენტი
- KYC/Privacy: კაბინეტის ტაში/შენახვის ვადა/ელექტრონული ფოსტის აკრძალვა
- წინა დაცვა: CSP/frame-ancestors/referrer-policy
- მობილური: ოფისი. Stors/არა ARC/გაფართოება საბოლოო ქულა (0-100):
- 12) FAQ (მოკლედ)
3) უსაფრთხო გადახდები: რა ითვლება ნორმად
PCI DSS: საიტი არ აგროვებს PAN/CVV თავისთავად - ბარათების ველები მასპინძელი fields/iframe PSP ან პროვაიდერის გადახდის გვერდზე.
ტოკენიზაცია: ბარათი იქცევა ნიშნად; საიტზე განთავსებულია მხოლოდ „last4“ და ნიშანი, არასდროს CVV.
3-D Secure 2. x/SCA: დადასტურება/ბიომეტრია ბანკში.
Apple Pay/Google Pay: ქსელის ნიშნები, ხელების მინიმალური შეყვანა.
საბანკო ანგარიშის მეთოდები (PayID/Osko, ა.შ.): ნაჩვენებია ზუსტი დეტალები და დაკრედიტების დადასტურება; არ არის მოთხოვნა „ბარათის ეკრანის გაგზავნა ჩეთში“.
კრიპტოგრაფიული გადასახადები: მისამართი/QR წარმოიქმნება PSP გვერდზე, თანხა/ქსელი ასახულია, არსებობს გაფრთხილება ქსელისა და კომისიების შესახებ.
4) სესიები და ლოგინები
Passkeys/FIDO2 ან 2FA (TOTR/app, FIDO გასაღები; SMS - სათადარიგო ვარიანტი).
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; auto-logauto taimauta.
მოწყობილობების მართვა: აქტიური სესიების სია, გასასვლელი „ყველა მოწყობილობიდან“.
პაროლის შესასვლელი/შეცვლის ალერტები ელექტრონული ფოსტის/იარაღის საშუალებით.
5) წინა და უკანა დაცვა (არაპირდაპირი მარკერები)
CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (anti-clicjecking).
მესამე მხარის „მარცხენა“ სკრიპტების გარეშე გადახდის გვერდზე (ანტი-სკიმერი/მაგეკარტი).
შეზღუდვა/მონაცემთა გაცვლა: პროფილში ნაჩვენებია მხოლოდ „last4“ და შენიღბული ელექტრონული ფოსტის/ტელეფონი.
6) KUS/დოკუმენტები - რამდენად უსაფრთხოა ჩამოტვირთვა
მხოლოდ დაცული კაბინეტის საშუალებით (HTTPS/TLS 1. 2 +) დატვირთვით; არ გაგზავნოთ დოკუმენტები ჩეთ/ფოსტით.
მხარდაჭერილი ფორმატები (PDF/JPG/PNG), ზომების ლიმიტი, აშკარა შენახვის/მოცილების პოლიტიკა.
წყლის ნიშნები („მხოლოდ KYC\[ საიტი ]\[ თარიღი]“), ფარული ბარათების ნომრები/QR.
პირადი პოლიტიკა: შენახვის ვადა, მესამე მხარის გადაცემა (KYC პროვაიდერი), შენახვის ქვეყანა.
7) მობილური და პროგრამები
ARC/გაფართოების გარეშე: ითამაშეთ ბრაუზერში (HTML5) ან ოფიციალურ მაღაზიებში (App Store/Google Play).
განაცხადის უფლებები მინიმალურია; არა „SMS/კონტაქტები/ზარები“.
საზოგადოებრივი Wi-Fi - მხოლოდ VPN- ით და KUS/ბარათის შეყვანის გარეშე.
AUS/ბრაუზერის განახლება ჩართულია.
8) საიტის სწრაფი აუდიტი (15 წუთი)
1. ლიცენზია/რეესტრი (2 წთ): საიტზე არის ნომერი და დაწკაპუნება, რეესტრი ემთხვევა იურიდიულ/დომენს.
2. TLS/სერთიფიკატი (2 წუთი): ციხე-სერთიფიკატი (SAN, ვადა, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/redirects (1 წუთი): იძულებითი HTTPS, არ არსებობს HTTP ვერსიები პირადი ანგარიშის/სალაროების შესახებ.
4. გადახდის ფორმა (4 წთ): hosted fields/iframe PSP, არა 'name = „cardnumber“ საიტის კოდში; 3-D Secure 2. x; ტოქსიკაცია; გამოქვეყნებულია SLA გადახდების მეთოდები.
5. ანგარიში (3 წუთი): ჩართეთ 2FA/Passkeys; შეამოწმეთ შეყვანის/მოწყობილობების ლოგოები; Cukes 'Only/Secure'.
6. KYC (3 წთ): მტვირთავი ოფისში, კერძო პოლიტიკის პოლიტიკა, ელექტრონული ფოსტის გაგზავნის აკრძალვა.
9) უსაფრთხოების შეფასების მატრიცა (100 ქულა)
TLS/სერთიფიკატი - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
გადახდები/PCI - 25 (PSP-iframe/რედაქცია, ტოკენიზაცია, 3-DS 2. x, PAN/CVV შენახვის გარეშე)
სესიები/2FA - 15 (Passkeys/TOTP, secure cookies, მოწყობილობების მენეჯმენტი)
წინა დაცვა - 10 (CSP, referrer-policy, frame-ancestors, არ არსებობს მესამე მხარის სკრიპტები სალაროებში)
KYC/Privacy - 10 (კაბინეტის აპლოდისმენტი, შენახვის დრო, ელექტრონული ფოსტის აკრძალვა)
ლიცენზია/რეესტრი - 10 (კლიშე რეესტრში, იურიდიული პირის/დომენის დამთხვევა)
მობილური - 5 (არა ARC/გაფართოება, ოფისები. stors)
გადახდების გამჭვირვალობა - 5 (მეთოდები, min/max, საკომისიო, SLA, same-method)
ინტერპრეტაცია: 85 ევრო - ძლიერი რეკომენდაცია; 75-84 - შესაფერისი; 60-74 - საშუალოდ; <60 - თავიდან აცილება.
10) წითელი დროშები (დაუყოვნებლივ)
HTTPS არ არსებობს ლოგინის/გადახდის გვერდებზე, შერეული შინაარსი.
TLS 1. 0/1. 1, მოძველებული შიფრები, თვითწერილი/დახვეწილი სერთიფიკატი.
კარტის ველები DOM ვებსაიტზე (და არა iframe PSP); გთხოვთ გაგზავნოთ ბარათის/KUS ფოტო ჩეთ/ფოსტით.
არა 3-D Secure 2, არ არსებობს ტოკენიზაცია; PAN/CVV შენახვა ანგარიშში.
არა 2FA/Passkeys; Cooks 'Only/Secure'.
ისინი მოითხოვენ ARC/გაფართოებას თამაშის/გადახდისთვის.
კონფიდენციალურობის პოლიტიკა შენახვის/მონაცემთა გადაცემის გარეშე.
11) შემოწმების ბარათის შაბლონი (შეავსეთ ერთი საიტი)
დომენი/ლიცენზია/ბმული რეესტრზე:
ციხე = უსაფრთხო? არა. იხილეთ TLS ვერსია, კოდი, სერთიფიკატი, HSTS და როგორ არის ჩაშენებული გადახდის ფორმა.
შეგიძლიათ შეიყვანოთ ბარათი თავად საიტზე? უსაფრთხოა - iframe/redirect PSP- ის საშუალებით. თუ საიტი თავად ამუშავებს PAN- ს, ის უნდა შეესაბამებოდეს PCI DSS (იშვიათობა).
SMS-2FA სტანდარტები? უკეთესი TOTP/FIDO; SMS - სათადარიგო ვარიანტი.
დოკუმენტები KYC- ს ჩატის შესახებ? არა. მხოლოდ HTTPS- ზე კაბინეტის ჩატვირთვის საშუალებით.
შედეგი
მონაცემთა და გადახდების უსაფრთხო შეყვანა არ არის „საკეტი მისამართის ზოლში“, არამედ მახასიათებლების ერთობლიობა: თანამედროვე TLS, HSTS, სიურპრიზების გარეშე სერთიფიკატი, გადახდის ფორმები PSP- სგან ტოქსიკაციით და 3-D Secure 2, 2FA/Passkeys, დაცული სესიები და კაბინეტი აპლოდისმენტები. გაიარეთ 15 წუთიანი აუდიტი, შეაფასეთ საიტი 100-ქულიანი მატრიცით და შეწყვიტეთ პროექტები წითელი დროშებით - ასე რომ, თქვენ მინიმუმამდე დაიყვანთ მონაცემთა ჩარევისა და გაჟონვის რისკს ფულის თამაშისას.
