Где безопасно вводить данные и платежи — SSL, шифрование

1) Базовый минимум безопасности сайта

TLS только 1.2/1.3 (никаких 1.0/1.1).

Современные шифры: ECDHE с AES-GCM или ChaCha20-Poly1305 (перф. на мобайле).

PFS (Perfect Forward Secrecy) — через ECDHE.

Действующий сертификат (SHA-256), ключ RSA ≥2048 или ECDSA P-256/384.

HSTS (+ желательно preloaded): жёсткое принуждение к HTTPS.

Редирект с HTTP на HTTPS без исключений.

Certificate Transparency (SCT) — виден в подробностях сертификата.

2) Как проверить сертификат за 30–60 секунд

• Кому выдан = точный домен/поддомен (SAN).
• Кем выдан — узнаваемый CA.
• Срок — не истёк/не «завтра».

• TLS 1.2/1.3, ECDHE и AES-GCM/ChaCha20.
• Нет «mixed content» (HTTP-картинки/скрипты на HTTPS-странице).
• 3. Откройте платёжную страницу: домен формы совпадает с сайтом или это известный PSP в iframe.

3) Защищённые платежи: что считать нормой

PCI DSS: сайт не собирает PAN/CVV сам — поля карты внутри хостed fields/iframe PSP или редирект на платёжную страницу провайдера.

Токенизация: карта превращается в токен; на сайте хранится только «last4» и токен, никогда CVV.

3-D Secure 2.x / SCA: пуш-подтверждение/биометрия в банке.

Apple Pay / Google Pay: сетевые токены, минимальный ввод руками.

Методы банковского аккаунта (PayID/Osko, т.п.): показываются точные реквизиты и подтверждение зачисления; нет просьб «прислать скрин карты в чат».

Криптоплатежи: адрес/QR генерируется на странице PSP, сумма/сеть прописаны, есть предупреждение о сети и комиссиях.

4) Сессии и логин

Passkeys / FIDO2 или 2FA (TOTP/апп, FIDO-ключ; SMS — запасной вариант).

Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; авто-логаут по таймауту.

Управление устройствами: список активных сессий, выход «со всех устройств».

Алерты входа/смены пароля по e-mail/пушу.

5) Фронт- и бэкенд-защита (косвенные маркеры)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (анти-кликджекинг).

Без сторонних «левых» скриптов на платёжной странице (анти-скиммер/Magecart).

Ограничение /masking данных: в профиле отображаются только «last4» и замаскированный e-mail/телефон.

6) KYC/документы — как безопасно загружать

Только через защищённый кабинет (HTTPS/TLS 1.2+) с загрузчиком; не отправляйте документы в чат/по почте.

Поддерживаемые форматы (PDF/JPG/PNG), лимит по размеру, явная политика хранения/удаления.

Водяные знаки («только для KYC \[сайт] \[дата]»), скрытые номера карт/QR.

Политика Privacy: срок хранения, передача третьим сторонам (KYC-провайдер), страна хранения.

7) Мобайл и приложения

Без APK/расширений: играйте в браузере (HTML5) или официальных магазинах (App Store/Google Play).

Права приложения — минимальные; нет «СМС/контакты/звонки».

Публичный Wi-Fi — только с VPN и без ввода KYC/карты.

Автообновления ОС/браузера включены.

8) Быстрый аудит сайта (15 минут)

1. Лицензия/реестр (2 мин): на сайте — номер и клика, в реестре совпадают юрлицо/домен.

2. TLS/сертификат (2 мин): замок → сертификат (SAN, срок, CA); DevTools → TLS 1.2/1.3, ECDHE+AES-GCM/ChaCha20.

3. HSTS/редиректы (1 мин): принудительный HTTPS, нет HTTP-версий личного кабинета/кассы.

4. Платёжная форма (4 мин): hosted fields/iframe PSP, нет `name="cardnumber"` в коде сайта; 3-D Secure 2.x; токенизация; методы и SLA выплат опубликованы.

5. Аккаунт (3 мин): включите 2FA/Passkeys; проверьте логи входов/устройств; куки `HttpOnly/Secure`.

6. KYC (3 мин): загрузчик в кабинете, политика Privacy, запрет на отправку по e-mail.

9) Матрица оценки безопасности (100 баллов)

TLS/сертификат — 20 (TLS 1.2/1.3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)

Платежи/PCI — 25 (PSP-iframe/редирект, токенизация, 3-DS 2.x, без хранения PAN/CVV)

Сессии/2FA — 15 (Passkeys/TOTP, secure cookies, управление устройствами)

Фронт-защита — 10 (CSP, referrer-policy, frame-ancestors, нет сторонних скриптов на кассе)

KYC/Privacy — 10 (кабинетный аплоад, сроки хранения, запрет e-mail)

Лицензия/реестр — 10 (клика в реестр, совпадение юрлица/домена)

Мобайл — 5 (нет APK/расширений, офиц. сторы)

Прозрачность выплат — 5 (методы, min/max, комиссии, SLA, same-method)

Интерпретация: ≥85 — сильная рекомендация; 75–84 — годно; 60–74 — средне; <60 — избегать.

10) Красные флаги (мимо сразу)

Нет HTTPS на страницах логина/платежей, смешанный контент.

TLS 1.0/1.1, устаревшие шифры, самоподписанный/истёкший сертификат.

Карточные поля в DOM сайта (а не в iframe PSP); просьбы прислать фото карты/KYC в чат/почту.

Нет 3-D Secure 2, нет токенизации; сохранение PAN/CVV в аккаунте.

Нет 2FA/Passkeys; куки без `HttpOnly/Secure`.

Требуют APK/расширения для игры/платежа.

Политика приватности без сроков хранения/передачи данных.

11) Шаблон карточки проверки (заполните на один сайт)

• TLS/сертификат: версия / шифр / CA / срок / HSTS / CT
• Платежи: PSP-iframe/редирект / 3-DS 2 / токенизация / методы и SLA / same-method
• Аккаунт: 2FA/Passkeys / secure cookies / управление сессиями
• KYC/Privacy: кабинетный аплоад / срок хранения / запрет e-mail
• Фронт-защита: CSP / frame-ancestors / referrer-policy
• Мобайл: офиц. сторы / нет APK/расширений

• 12) FAQ (коротко)

Замок = безопасно? Нет. Смотрите версию TLS, шифр, сертификат, HSTS и как встроена платёжная форма.

Можно вводить карту на самом сайте? Безопаснее — через iframe/редирект PSP. Если сайт сам обрабатывает PAN, он должен соответствовать PCI DSS (редкость).

SMS-2FA норм? Лучше TOTP/FIDO; SMS — запасной вариант.

Документы по KYC в чат? Нет. Только через кабинетный загрузчик на HTTPS.

Итог

Безопасный ввод данных и платежей — это не «замок в адресной строке», а совокупность признаков: современный TLS, HSTS, сертификат без сюрпризов, платёжные формы от PSP с токенизацией и 3-D Secure 2, 2FA/Passkeys, защищённые сессии и кабинетный KYC-аплоад. Пройдите 15-минутный аудит, оцените сайт по 100-балльной матрице и отсекайте проекты с красными флагами — так вы минимизируете риск перехвата и утечки данных при игре на деньги.