Кайда коопсуз маалыматтарды жана төлөмдөрдү киргизүү - SSL, шифрлөө
1) Базалык минималдуу сайт коопсуздугу
TLS гана 1. 2/1. 3 (жок 1. 0/1. 1).
Заманбап шифрлер: AES-GCM же ChaCha20-Poly1305 менен ECDHE (перф. мобайл).
PFS (Perfect Forward Secrecy) — через ECDHE.
жарактуу күбөлүк (SHA-256), RSA ачкычы ≥ 2048 же ECDSA P-256/384.
HSTS (+ жакшы preloaded): катуу HTTPS мажбурлоо.
Exclusive жок HTTPS үчүн HTTP менен Redirect.
Certificate Transparency (SCT) - күбөлүк майда-чүйдөсүнө чейин көрүнүп турат.
2) 30-60 секунданын ичинде күбөлүк текшерүү үчүн кантип
1. чыкылдатуу "кулпу" → күбөлүк:- Кимге берилген = так домен/поддомен (SAN).
- Ким тарабынан берилген - таанымал CA.
- Мөөнөтү бүтө элек/" эртең "эмес.
- TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
- Жок "mixed content" (HTTPS-беттеги HTTP сүрөттөр/скрипттер).
- 3. Төлөм баракчасын ачыңыз: форманын домени сайтка дал келет же бул белгилүү PSP iframe.
3) Корголгон төлөмдөр: норма катары эсептелиши керек
PCI DSS: сайт өзү PAN/CVV чогултуу эмес - хостинг fields/iframe PSP же кызмат көрсөтүүчүнүн төлөм бетине redirekt ичинде карта талаалары.
Токенизация: карта токенге айланат; сайтта гана сакталат "last4" жана токен, эч качан CVV.
3-D Secure 2. x/SCA: push-тастыктоо/банктагы биометрия.
Apple Pay/Google Pay: тармактык токендер, колу минималдуу киргизүү.
Банктык эсеп ыкмалары (PayID/Osko, ж.б.): так реквизиттер жана чегерүүнү тастыктоо көрсөтүлөт; эч кандай суроо-талап "чатта картанын скриншотту жөнөтүү".
Крипто төлөмдөр: PSP барагында пайда болгон дарек/QR, суммасы/тармак катталган, тармак жана комиссиялар жөнүндө эскертүү бар.
4) Сессиялар жана Логин
Passkeys/ FIDO2 же 2FA (TOTR/APP, FIDO ачкычы; SMS - кошумча вариант).
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; тайм боюнча авто-логаут.
Түзмөктөрдү башкаруу: активдүү сессиялардын тизмеси, "бардык түзмөктөрдөн" чыгуу.
Кирүү/сырсөздү өзгөртүү үчүн алерталар e-mail/пушка.
5) Алдыңкы жана арткы коргоо (кыйыр маркерлер)
CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (анти-кликджекинг).
Төлөм бетинде үчүнчү тараптын "сол" скрипттери жок (анти-skimmer/Magecart).
Чектөө/маалымат masking: бир гана "last4" жана жашыруун электрондук почта/тел көрсөтөт.
6) KUS/документтер - кантип коопсуз жүктөп алуу керек
Коопсуз кабинет аркылуу гана (HTTPS/TLS 1. 2 +) жүктөгүч менен; документтерди чат/почта аркылуу жөнөтүүгө болбойт.
Колдоого алынган форматтар (PDF/JPG/PNG), өлчөм чеги, ачык сактоо/алып салуу саясаты.
Суу белгилери ("KYC\[ сайт ]\[ дата] үчүн гана"), жашыруун карта номерлери/QR.
Privacy саясаты: сактоо мөөнөтү, үчүнчү жактарга өткөрүп берүү (KYC-провайдер), сактоо өлкөсү.
7) Мобайл жана тиркемелер
ARC/кеңейтүү жок: браузерде (HTML5) же расмий дүкөндөрдө (App Store/Google Play) ойноңуз.
Колдонмо укуктары - минималдуу; жок "SMS/байланыштар/чалуулар".
Коомдук Wi-Fi - гана VPN жана КТБ/картаны киргизүү жок.
Auto жаңыртуу OS/браузер киргизилген.
8) Тез сайт аудит (15 мүнөт)
1. Лицензия/реестр (2 мин): сайтта - номер жана клик, реестрде юридикалык жак/домен дал келет.
2. TLS/күбөлүк (2 мин): кулпу → күбөлүк (SAN, мөөнөтү, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/редакторлор (1 мин): мажбурлоо HTTPS, эч кандай HTTP версиясы жеке кабинетте/кассада.
4. Төлөм формасы (4 мин): hosted fields/iframe PSP, no 'name = "cardnumber"' сайттын кодунда; 3-D Secure 2. x; токенизация; ыкмалары жана SLA төлөмдөр жарыяланган.
5. Эсеп (3 мин): 2FA/Passkeys кошуу; логиндерди/түзмөктөрдү текшерүү; cookie 'HttpOnly/Secure'.
6. KYC (3 мин): кабинетте жүктөөчү, Privacy саясаты, электрондук почта аркылуу жөнөтүүгө тыюу салуу.
9) Коопсуздук баа Matrix (100 упай)
TLS/күбөлүк - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
Төлөмдөр/PCI - 25 (PSP-iframe/redirect, токенизация, 3-DS 2. x, PAN/CVV сактоо жок)
Сессиялар/2FA - 15 (Passkeys/TOTP, secure cookies, түзмөктөрдү башкаруу)
Алдыңкы коргоо - 10 (CSP, referrer-policy, frame-ancestors, кассада үчүнчү тараптын скрипттери жок)
KYC/Privacy - 10 (кабинеттик аплоад, сактоо мөөнөтү, электрондук почтага тыюу салуу)
Лицензия/реестр - 10 (реестрге чыкылдатуу, юридикалык жактын/домендин дал келиши)
Мобайл - 5 (эч кандай ARC/кеңейтүү, ofits. stores)
Төлөмдөрдүн ачыктыгы - 5 (ыкмалар, min/max, комиссиялар, SLA, same-method)
Чечмелөө: ≥ 85 - күчтүү сунуш; 75-84 - жарактуу; 60-74 - орточо; <60 - качуу.
10) Кызыл желектер (дароо өтүп)
Логин/төлөмдөрдүн беттеринде HTTPS жок, аралаш мазмун.
TLS 1. 0/1. 1, эскирген шифрлер, өз алдынча кол коюлган/мөөнөтү өтүп кеткен сертификат.
сайт DOM карта талаалары (PSP iframe эмес); чатта/почтада карта/CUS сүрөт жөнөтүү өтүнүчү.
Жок 3-D Secure 2, эч кандай токенизация; PAN/CVV эсепке сактоо.
Эч кандай 2FA/Passkeys; жок cookie 'HttpOnly/Secure'.
Оюн/төлөм үчүн ARC/кеңейтүү талап кылынат.
Сактоо/маалыматтарды берүү мөөнөтү жок купуялык саясаты.
11) Текшерүү картасынын үлгүсү (бир сайтка толтуруу)
Домен/лицензия/реестрине шилтеме:- TLS/күбөлүк: версия/шифр/CA/мөөнөтү/HSTS/CT
- Төлөмдөр: PSP-iframe/redirect/ 3-DS 2/tokenization/ыкмалары жана SLA/same-method
- Аккаунт: 2FA/Passkeys/secure cookies/сессияларды башкаруу
- KYC/Privacy: кабинеттик апплоад/сактоо мөөнөтү/тыюу электрондук почта
- Алдыңкы коргоо: CSP/frame-ancestors/referrer-policy
- Мобайл: ofits. stores/жок ARC/кеңейтүү
- 12) FAQ (кыскача)
Кулпу = коопсуз? Жок. TLS версиясын, шифрин, сертификатын, HSTS жана төлөм формасын көрүңүз.
Картаны сайттын өзүнө киргизе аласызбы? Коопсуз - PSP iframe/redirect аркылуу. Эгерде сайт өзү PAN иштетет, ал PCI DSS (сейрек) ылайык болушу керек.
SMS-2FA нормалар? Жакшы TOTP/FIDO; SMS - кошумча параметр.
KYC боюнча документтер чатта? Жок. HTTPS боюнча кабинеттик жүктөгүч аркылуу гана.
Жыйынтык
Маалыматтарды жана төлөмдөрдү коопсуз киргизүү - бул "дарек тилкесиндеги кулпу" эмес, белгилердин жыйындысы: заманбап TLS, HSTS, күтүүсүз сертификат, токенизацияланган PSP төлөм формалары жана 3-D Secure 2, 2FA/Passkeys, корголгон сессиялар жана KYC-аплоад кабинети. 15 мүнөттүк аудиттен өтүңүз, 100 баллдык матрица боюнча сайтка баа бериңиз жана кызыл желектер менен долбоорлорду кесип салыңыз - ошентип, сиз акча менен ойногондо маалыматтарды кармап калуу жана ачыкка чыгуу коркунучун азайтасыз.
