Деректер мен төлемдерді қайда енгізу қауіпсіз - SSL, шифрлау

1) Сайт қауіпсіздігінің базалық минимумы

TLS тек 1. 2/1. 3 (жоқ 1. 0/1. 1).
Заманауи шифрлар: AES-GCM немесе ChaCha20-Poly1305 (перф. мобайл).
PFS (Perfect Forward Secrecy) — через ECDHE.
Қолданыстағы сертификат (SHA-256), RSA ≥ 2048 немесе ECDSA P-256/384 кілті.
HSTS (+ preloaded): қатты HTTPS мәжбүрлеу.
HTTP-тен HTTPS-ге қайта қарау.
Certificate Transparency (SCT) - сертификаттың егжей-тегжейінде көрінеді.

2) Сертификатты 30-60 секундта қалай тексеру керек

1. Кілтті басыңыз → Сертификат:

• Кімге берілді = нақты домен/кіші домен (SAN).
• Кім берді - танылатын CA.
• Мерзімі өткен жоқ/« ертең »емес.
2. В DevTools → Security:
• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• «mixed content» жоқ (HTTPS бетіндегі HTTP суреттері/скрипттері).
• 3. Төлем бетін ашыңыз: пішін домені торапқа сәйкес келеді немесе бұл iframe бағдарламасындағы белгілі PSP.

3) Қорғалған төлемдер: нені норма деп санау керек

PCI DSS: сайт өзі PAN/CVV жинайды - хостинг fields/iframe PSP ішіндегі карта өрістері немесе провайдердің төлем бетіне редирект.
Токенизация: карта токенге айналады; сайтта тек «last4» және токен сақталады, ешқашан CVV.
3-D Secure 2. x/SCA: банкідегі іске қосу/биометрия.
Apple Pay/Google Pay: желілік токендер, қолмен ең аз енгізу.
Банктік шот әдістері (PayID/Osko, т.с.с.): нақты деректемелер және есептеуді растау көрсетіледі; «картаның скринін сөйлесуге жіберу» деген сұрақ жоқ.
Крипто төлемдер: мекенжай/QR PSP бетінде жасалады, сома/желі жазылған, желі мен комиссиялар туралы ескерту бар.

4) Сессиялар және логин

Passkeys/ FIDO2 немесе 2FA (ТОТР/апп, FIDO-кілт; SMS - қосалқы нұсқа).
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; таймаут бойынша авто-логаут.
Құрылғыларды басқару: белсенді сессиялар тізімі, «барлық құрылғылардан» шығу.
E-mail/пушка бойынша кіру/парольді ауыстыру алерттары.

5) Фронт- және бэкенд-қорғау (жанама маркерлер)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (анти-кликджекинг).
Төлем бетінде бөгде «сол» скрипттер жоқ (анти-скиммер/Magecart).
Деректерді шектеу/masking: профайлда тек «last4» және бүркемеленген e-mail/телефон көрсетіледі.

6) АЖК/құжаттар - қалай қауіпсіз жүктеу керек

Тек қорғалған кабинет арқылы (HTTPS/TLS 1. 2 +) тиегішпен; құжаттарды сөйлесуге/поштаға жібермеңіз.
Қолдау көрсетілетін пішімдер (PDF/JPG/PNG), өлшем шегі, нақты сақтау/жою саясаты.
Су белгілері («тек KYC\[ сайт ]\[ күні]»), жасырын карта нөмірлері/QR.
Privacy саясаты: сақтау мерзімі, үшінші тараптарға беру (KYC-провайдер), сақтау елі.

7) Мобайл және қосымшалар

АРК/кеңейтулерсіз: браузерде (HTML5) немесе ресми дүкендерде (App Store/Google Play) ойнаңыз.
Қосымшаның құқықтары - ең аз; «SMS/контактілер/қоңыраулар» жоқ.
Қоғамдық Wi-Fi - тек VPN-мен және АЖК/картаны енгізусіз.
OS/шолғышты автоматты түрде жаңарту қосылған.

8) Сайттың жылдам аудиті (15 минут)

1. Лицензия/тізілім (2 мин): сайтта - нөмірі және басу, тізілімде заңды тұлға/домен сәйкес келеді.
2. TLS/сертификат (2 мин): құлып → сертификат (SAN, мерзімі, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/редакторлар (1 мин): мәжбүрлі HTTPS, жеке кабинеттің/кассаның HTTP нұсқалары жоқ.
4. Төлем түрі (4 мин): hosted fields/iframe PSP, жоқ 'name = «cardnumber»' сайт кодында; 3-D Secure 2. x; токенизациялау; әдiстерi және SLA төлемдерi жарияланған.
5. Аккаунт (3 мин): 2FA/Passkeys қосыңыз; кіріс/құрылғы журналын тексеріңіз; cookie 'HttpOnly/Secure'.
6. KYC (3 мин): кабинеттегі жүктеуші, Privacy саясаты, e-mail арқылы жіберуге тыйым салу.

9) Қауіпсіздікті бағалау матрицасы (100 балл)

TLS/сертификат - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
Төлемдер/PCI - 25 (PSP-iframe/редирект, токенизация, 3-DS 2. x, PAN/CVV сақтаусыз)
Сессиялар/2FA - 15 (Passkeys/TOTP, secure cookies, құрылғыларды басқару)
Фронт-қорғау - 10 (CSP, referrer-policy, frame-ancestors, кассада басқа скрипттер жоқ)
KYC/Privacy - 10 (кабинеттік аплоад, сақтау мерзімі, e-mail тыйым салу)
Лицензия/тізілім - 10 (тізілімге басу, заңды тұлғаның/доменнің сәйкестігі)
Мобайл - 5 (АРК/кеңейту жоқ, офиц. оқиғалар)
Төлемдердің ашықтығы - 5 (әдістер, min/max, комиссиялар, SLA, same-method)
Түсіндірме: ≥ 85 - күшті ұсыныс; 75-84 - жылдық; 60-74 - орташа; <60 - аулақ болыңыз.

10) Қызыл жалаулар (бірден өткен)

Логин/төлем беттерінде HTTPS жоқ, аралас мазмұн.
TLS 1. 0/1. 1, ескірген шифрлар, өздігінен қол қойылған/мерзімі өткен сертификат.
Сайттың DOM карталық өрістері (iframe PSP-де емес); фото картаны/ЖБК чат/поштаға жіберуді сұрайды.
Жоқ 3-D Secure 2, токенизация жоқ; аккаунтында PAN/CVV сақтау.
2FA/Passkeys жоқ; 'HttpOnly/Secure' cookie файлдары.
Ойын/төлем үшін ҚРК/кеңейтуді талап етеді.
Деректерді сақтау/беру мерзімінсіз құпиялылық саясаты.

11) Тексеру карточкасының үлгісі (бір сайтқа толтырыңыз)

Домен/лицензия/тізілімге сілтеме:
• TLS/сертификат: нұсқа/шифр/CA/мерзімі/HSTS/CT
• Төлемдер: PSP-iframe/redirect/ 3-DS 2/токенизация/әдістер және SLA/same-method
• Тіркелгі: 2FA/Passkeys/secure cookies/сессияларды басқару
• KYC/Privacy: кабинеттік аплоад/сақтау мерзімі/тыйым салынған e-mail
• Алдыңғы қорғаныс: CSP/frame-ancestors/referrer-policy
• Мобайл: офиц. Сторлар/АРК/кеңейтулер жоқ
Қорытынды балл (0-100):
• 12) FAQ (қысқаша)

Құлып = қауіпсіз пе? Жоқ. TLS нұсқасын, шифрын, сертификатын, HSTS және төлем формасын қараңыз.
Картаны сайттың өзінде енгізуге бола ма? Қауіпсіз - iframe/PSP редирект арқылы. Егер сайттың өзі PAN өңдесе, ол PCI DSS (сирек) сәйкес келуі тиіс.
SMS-2FA нормалар? Жақсы TOTP/FIDO; SMS - қосалқы нұсқа.
KYC чат құжаттары? Жоқ. Тек HTTPS кабинеті арқылы.

Жиынтық

Деректер мен төлемдерді қауіпсіз енгізу - «мекенжай жолындағы құлып» емес, белгілер жиынтығы: заманауи TLS, HSTS, күтпеген жерден сертификат, PSP токенизациясы бар төлем формалары және 3-D Secure 2, 2FA/Passkeys, қорғалған сессиялар және KYC-аплоад кабинеті. 15 минуттық аудиттен өтіңіз, сайтты 100 баллдық матрица бойынша бағалаңыз және қызыл жалаушалы жобаларды кесіп тастаңыз - ақшаға ойнаған кезде деректерді ұстап қалу және ағып кету қаупін азайтасыз.