Maglumatlary we tölegleri nirede ygtybarly girizmek - SSL, şifrlemek

1) Saýtyň howpsuzlygynyň esasy derejesi

TLS diňe 1. 2/1. 3 (ýok 1. 0/1. 1).

Häzirki zaman şifrleri: AES-GCM ýa-da ChaCha20-Poly1305 (perf. mobile).

PFS (Perfect Forward Secrecy) — через ECDHE.

Hereket edýän şahadatnama (SHA-256), RSA ≥ 2048 ýa-da ECDSA açary P-256/384.

HSTS (has gowusy preloaded): HTTPS-e berk mejbur etmek.

HTTP-den HTTPS-e kadadan çykma ýok.

Certificate Transparency (SCT) - şahadatnamanyň jikme-jikliklerinde görünýär.

2) Şahadatnamany 30-60 sekuntda nädip barlamaly

• Kime berildi = takyk domen/alt domen (SAN).
• Kim berdi - tanalýan CA.
• Wagt gutarmady/ertir däl.

• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• "mixed content" ýok (HTTPS sahypasynda HTTP suratlary/skriptleri).
• 3. Töleg sahypasyny açyň: Form domeni web sahypasyna gabat gelýär ýa-da iframe-de belli PSP.

3) Goralýan tölegler: kadany näme hasaplamaly

PCI DSS: Sahypa PAN/CVV ýygnamaýar - kartyň hosted fields/iframe PSP ýa-da üpjün edijiniň töleg sahypasyna redirektiň içindäki meýdanlary.

Tokenizasiýa: kartoçka tokene öwrülýär; saýtda diňe "last4" we token saklanýar, hiç haçan CVV.

3-D Secure 2. x/SCA: bankda push-tassyklama/biometriýa.

Apple Pay/Google Pay: Tor bellikleri, eller bilen iň az giriş.

Bank hasabynyň usullary (PayID/Osko, ş.m.): takyk jikme-jiklikler we hasaba alnandygyny tassyklamak görkezilýär; "Kartyň skrinini söhbetdeşlige ibermek" soragy ýok.

Kripto tölegleri: adres/QR PSP sahypasynda döredilýär, mukdary/tory ýazylýar, tor we komissiýalar barada duýduryş bar.

4) Sessiýalar we giriş

Passkeys/ FIDO2 ýa-da 2FA (TOTR/app, FIDO-açar; SMS - ätiýaçlyk warianty).

Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; Taýmaut boýunça awto-logut.

Enjamlary dolandyrmak: işjeň sessiýalaryň sanawy, "ähli enjamlardan" çykmak.

E-poçta/puşa girmegiň/paroly üýtgetmegiň alertleri.

5) Öň we arka gorag (gytaklaýyn bellikler)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (anti-klikjeking).

Töleg sahypasynda üçünji tarap "çep" skriptleri ýok (anti-skimmer/Magecart).

Maglumat çäklendirmesi/masking: profilde diňe "last4" we gizlenen e-poçta/telefon görkezilýär.

6) KUS/resminamalar - nädip howpsuz ýüklemeli

Diňe ygtybarly kabinet arkaly (HTTPS/TLS 1. 2 +) ýükleýji bilen; Resminamalary söhbetdeşlige/poçta arkaly ibermäň.

Goldanýan formatlar (PDF/JPG/PNG), ululyk çäkleri, açyk saklamak/aýyrmak syýasaty.

Suw belgileri ("diňe KYC\[ site ]\[ senesi]"), gizlin kart belgileri/QR.

Gizlinlik syýasaty: saklanyş möhleti, üçünji taraplara (KYC-üpjün ediji), saklanylýan ýurt.

7) Mobaýl we goşundylar

ARC/giňeldilmezden: brauzerde (HTML5) ýa-da resmi dükanlarda (App Store/Google Play) oýnaň.

Programmanyň hukuklary - iň az; "SMS/aragatnaşyklar/jaňlar" ýok.

Jemgyýetçilik Wi-Fi - diňe VPN-den we KUS/kartoçkany girizmezden.

OS/brauzer awto täzelenmeleri goşuldy.

8) Sahypanyň çalt barlagy (15 minut)

1. Ygtyýarnama/reýestr (2 minut): saýtda - nomer we basma, reýestrde ýuridik şahs/domen gabat gelýär.

2. TLS/şahadatnama (2 minut): gulp → şahadatnama (SAN, möhlet, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.

3. HSTS/redaktorlar (1 minut): mejbury HTTPS, şahsy hasabyň/kassanyň HTTP wersiýasy ýok.

4. Töleg görnüşi (4 minut): hosted fields/iframe PSP, no 'name = "cardnumber"' site kodunda; 3-D Secure 2. x; tokenizasiýa; usullary we SLA tölegleri çap edildi.

5. Hasap (3 minut): 2FA/Passkeys goşuň; giriş/enjam ýazgylaryny barlaň; çerezler 'HttpOnly/Secure'.

6. KYC (3 minut): kabinetdäki ýükleýji, Gizlinlik syýasaty, e-poçta arkaly ibermegi gadagan etmek.

9) Howpsuzlyga baha bermek matrisi (100 bal)

TLS/şahadatnama - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)

Tölegler/PCI - 25 (PSP-iframe/redirekt, tokenizasiýa, 3-DS 2. x, PAN/CVV saklamazdan)

Sessiýalar/2FA - 15 (Passkeys/TOTP, secure cookies, enjam dolandyryşy)

Öň gorag - 10 (CSP, referrer-policy, frame-ancestors, kassada üçünji tarap skriptleri ýok)

KYC/Privacy - 10 (kabinet aploady, saklanyş möhleti, e-poçta gadaganlygy)

Ygtyýarnama/reýestr - 10 (reýestre basmak, ýuridiki şahsyň/domeniň gabat gelmegi)

Mobail - 5 (ARC/giňeldilmez, ofitsler. hekaýalar)

Tölegleriň aç-açanlygy - 5 (usullar, min/max, komissiýalar, SLA, same-method)

Düşündiriş: ≥ 85 - güýçli maslahat; 75-84 - dogry; 60-74 - ortaça; <60 - gaça duruň.

10) Gyzyl baýdaklar (birbada geçip)

Giriş/töleg sahypalarynda HTTPS ýok, garyşyk mazmun.

TLS 1. 0/1. 1, köne şifrler, öz-özüni gol çeken/möhleti geçen şahadatnama.

Sahypanyň DOM kartoçkalarynda (iframe PSP-de däl); kartoçkanyň/KUS suratyny söhbetdeşlige/poçta ibermek baradaky haýyşlar.

3-D Secure 2 ýok, bellik ýok; PAN/CVV-ni hasabyňyzda saklamak.

2FA/Passkeys ýok; 'HttpOnly/Secure'.

Oýun/töleg üçin ARC/giňeltmek talap edilýär.

Maglumatlary saklamak/geçirmek möhletleri bolmazdan gizlinlik syýasaty.

11) Barlamak kartoçkasynyň şablony (bir sahypa dolduryň)

• TLS/şahadatnama: wersiýa/şifr/CA/möhlet/HSTS/CT
• Tölegler: PSP-iframe/redirekt/ 3-DS 2/tokenizasiýa/usullar we SLA/same-method
• Hasap: 2FA/Passkeys/secure cookies/session dolandyryşy
• KYC/Privacy: kabinet aploady/saklanyş möhleti/e-poçta gadaganlygy
• Öň gorag: CSP/frame-ancestors/referrer-policy
• Mobail: ofits. Stores/No ARC/Uzantylar

• 12) FAQ (gysgaça)

Gulp = howpsuz? Ýok. TLS wersiýasyna, şifrine, şahadatnamasyna, HSTS we töleg görnüşine serediň.

Sahypada kartoçkany girizip bilersiňizmi? Has ygtybarly - PSP iframe/redirekt arkaly. Sahypanyň özi PAN-y gaýtadan işleýän bolsa, PCI DSS-e laýyk gelmelidir (seýrek).

SMS-2FA? Has gowusy TOTP/FIDO; SMS - ätiýaçlyk warianty.

Söhbetdeşlik üçin KYC resminamalary? Ýok. Diňe HTTPS-de kabinet ýükleýji arkaly.

Jemi

Maglumatlaryň we tölegleriň ygtybarly girizilmegi "salgy setirindäki gulp" däl-de, eýsem alamatlaryň jemidir: häzirki zaman TLS, HSTS, garaşylmadyk şahadatnamasy, PSP-den tokenizasiýa we 3-D Secure 2, 2FA/Passkeys, goralýan sessiýalar we KYC-apload otagy. 15 minutlyk auditden geçiň, 100 ballyk matrisa boýunça sahypa baha beriň we gyzyl baýdakly taslamalary kesiň - şeýlelik bilen pul oýnanyňyzda maglumatlaryň kesilmegi we syzmagy töwekgelçiligini azaldar.