Unde să introduceți în siguranță datele și plățile - SSL, criptare

1) Minim de securitate site-ul de bază

TLS doar 1. 2/1. 3 (nr. 1. 0/1. 1).
Cifruri moderne: ECDHE cu AES-GCM sau ChaCha20-Poly1305 (pen. pe mobil).
PFS (Perfect Forward Secret) - через ECDHE.
Certificat valabil (SHA-256), ≥2048 cheie RSA sau P-256/384 ECDSA.
HSTS (+ de preferință preîncărcat): aplicarea cu greu a HTTPS.
Redirecționați de la HTTP la HTTPS fără excepții.
Transparența certificatului (SCT) - vizibilă în detaliile certificatului.

2) Cum să verificați un certificat în 30-60 de secunde

1. Faceți clic pe „blocare” → Certificat:

• Eliberat la = domeniu exact/subdomeniu (SAN).
• Eliberat de - CA recunoscut.
• Termenul nu este expirat/nu „mâine”.
2. В DevTools → Securitate:
• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• Nu există "conținut mixt' (imagini HTTP/scripturi pe pagina HTTPS).
• 3. Deschideți pagina de plată: domeniul de formular se potrivește cu site-ul sau este un PSP bine-cunoscut în iframe.

3) plăți protejate: ceea ce este considerat norma

PCI DSS: site-ul nu colectează PAN/CVV în sine - câmpurile de card din câmpurile găzduite/iframe PSP sau redirecționați către pagina de plată a furnizorului.
Tokenizare: cardul se transformă în token; singurul site stochează „last4” și un token, niciodată CVV.
3-D Secure 2. x/SCA: push confirmare/biometrie la banca.
Apple Pay/Google Pay: jetoane de rețea, intrare manuală minimă.
Metodele contului bancar (PayID/Osko etc.): sunt afișate detalii exacte și confirmarea creditării; nu există cereri de „a trimite un ecran de card la chat”.
Plăți cripto: adresa/QR este generată pe pagina PSP, suma/rețeaua este înregistrată, există un avertisment cu privire la rețea și comisioane.

4) Sesiuni și autentificare

Cheile de acces/ FIDO2 sau 2FA (TOTP/app, tasta FIDO; SMS este o rezervă).
Куки: 'Secure', 'HttpOnly', 'SameSite = Lax/Strict'; auto-logout prin timeout.
Gestionarea dispozitivelor: lista sesiunilor active, ieșirea „de pe toate dispozitivele”.
Parola autentificare/schimbare alerte prin e-mail/push.

5) Front-end și protecție backend (markeri indirecți)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-strămoșii (anti-clickjacking).
Fără scripturi terțe „stânga” pe pagina de plată (anti-skimmer/Magecart).
Restricționarea/mascarea datelor: în profil sunt afișate doar „last4” și e-mail/telefon deghizat.

6) CCM/Documente - Cum să încărcați în siguranță

Numai printr-un dulap securizat (HTTPS/TLS 1. 2 +) cu încărcător; nu trimiteți documente la chat/mail.
Formate acceptate (PDF/JPG/PNG), limită de dimensiune, politică explicită de păstrare/ștergere.
Filigrane („numai KYC\[ site ]\[ data]”), numere de carduri ascunse/QR.
Politica de confidențialitate: termenul de valabilitate, transferul către terțe părți (furnizor KYC), țara de stocare.

7) Mobile și aplicații

Fără ARC/extensii: redați în browser (HTML5) sau magazine oficiale (App Store/Google Play).
Drepturile de aplicare sunt minime; fără „SMS/contacte/apeluri”.
Wi-Fi public - numai cu VPN și fără a introduce un CUS/card.
Sunt activate actualizările automate OS/Browser.

8) Audit rapid al site-ului (15 minute)

1. Licenta/registru (2 minute): pe site - numar si click, persoana juridica/domeniu se potriveste in registru.
2. TLS/certificat (2 min): certificat de → de blocare (SAN, termen, CA); DevTools → TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20.
3. HSTS/redirecționează (1 min): HTTPS forțat, fără versiuni HTTP ale contului personal/caselor de marcat.
4. Formular de plata (4 minute): campuri gazduite/iframe PSP, no 'name = "cardnumber" "in codul site-ului; 3-D Secure 2. x; tokenizare; metode și plăți SLA publicate.
5. Cont (3 min): activați 2FA/Passkeys; verificați jurnalele de intrări/dispozitive; 'HttpOnly/Secure' cookies.
6. KYC (3 min): bootloader cabinet, Politica de confidențialitate, interzicerea trimiterii prin e-mail.

9) Matrice de siguranță (100 puncte)

TLS/Certificat - 20 (TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20, CT, HSTS)
Plăți/PCI - 25 (PSP-iframe/redirecționare, tokenizare, 3-DS 2. x, fără stocare PAN/CVV)
Sessions/2FA - 15 (Passkeys/TOTP, secure cookies, device management)
Protecție față - 10 (CSP, referrer-policy, cadru-strămoși, nu script-uri terțe părți la finalizarea comenzii)
KYC/Confidențialitate - 10 (încărcare cabinet, timp de stocare, interdicție e-mail)
Licenta/registru - 10 (click in registru, potriveste persoana juridica/domeniu)
Mobil - 5 (fără ARC/extensii, oficial. stori)
Transparența plăților - 5 (metode, min/max, comisioane, SLA, aceeași metodă)
Interpretare: ≥85 este o recomandare puternică; 75-84 - se potrivesc; 60-74 - medie; <60 - evita.

10) Steaguri roșii (trecut imediat)

Nu există HTTPS pe paginile de conectare/plată, conținut mixt.
TLS 1. 0/1. 1, cifre învechite, certificat autosemnat/expirat.
Câmpuri de card în DOM-ul site-ului (și nu în PSP-ul iframe); cereri de a trimite o carte foto/KUS la chat/mail.
Nu 3-D Secure 2, nu tokenization; salvarea PAN/CVV în cont.
Fără 2FA/Passkeys; cookie-uri fără 'HttpOnly/Secure'.
Necesită ACA/îmbunătățiri pentru joc/plată.
Politica de confidențialitate fără păstrarea/transferul datelor.

11) Șablon card de verificare (completați un site)

Domain/license/registry link:
• TLS/Certificat: Versiune/Cifru/CA/Termen/HSTS/CT
• Plăți: PSP-iframe/redirect/ 3-DS 2/tokenization/methods și SLA/same-method
• Cont: 2FA/Passkeys/secure cookie-uri/gestionarea sesiunii
• KYC/Confidențialitate: upload cabinet/valabilitate/interdicție e-mail
• Apărarea frontală: politica CSP/cadru-strămoși/referrer-policy
• Mobil: birou. magazine/fără ARA/extensii
Scor final (0-100):
• 12) Întrebări frecvente (scurt)

Lock = seif? Nu, nu este. Consultați versiunea TLS, cifrul, certificatul, HSTS și modul în care este construit formularul de plată.
Pot introduce o hartă pe site-ul în sine? Mai sigur - prin iframe/redirecționare PSP. Dacă site-ul se ocupă de PAN în sine, trebuie să respecte PCI DSS (rar).
SMS-2FA norme? O mai bună TOTP/FIDO; SMS este o rezervă.
Documente KYC pentru a conversa? Nu, nu este. Numai prin bootloader cabinet pe HTTPS.

Rezultat

Introducerea securizată a datelor și plăților nu este o „blocare în bara de adrese”, ci un set de semne: TLS modern, HSTS, un certificat fără surprize, formulare de plată de la PSP cu tokenizare și 3-D Secure 2, 2FA/Passkeys, sesiuni securizate și încărcare cabinet KYC. Faceți un audit de 15 minute, evaluați site-ul pe o matrice de 100 de puncte și întrerupeți proiectele cu steaguri roșii - în acest fel minimizați riscul de interceptare și scurgere de date atunci când jucați pentru bani.