Verilerin ve ödemelerin güvenli bir şekilde girileceği yer - SSL, şifreleme

Amaç, müdahale, kimlik avı ve sızıntı riskleri olan sitelerden kişisel/ödeme verilerini güvenle girebileceğiniz siteleri hızlı bir şekilde ayırmaktır.

1) Temel site güvenliği minimum

TLS sadece 1. 2/1. 3 (hayır 1). 0/1. 1).
Modern şifreler: AES-GCM veya ChaCha20-Poly1305 ile ECDHE (kalem. mobilde).
PFS (Perfect Forward Secrecy - Mükemmel İleri Gizlilik) - через ECDHE.
Geçerli sertifika (SHA-256), RSA anahtar ≥2048 veya ECDSA P-256/384.
HSTS (+ tercihen önceden yüklenmiş): HTTPS'nin sert bir şekilde uygulanması.
İstisnasız HTTP'den HTTPS'ye yönlendirin.
Sertifika Saydamlığı (SCT) - sertifika ayrıntılarında görünür.

2) Bir sertifika 30-60 saniye içinde nasıl doğrulanır

1. "Kilit'e tıklayın - Sertifika:

• Tam etki alanı/alt etki alanı (SAN) olarak verilir.
• Tarafından verilen - tanınabilir CA.
• Süre dolmadı/'yarın'değil.
2. В DevTools - Güvenlik:
• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• "Karışık içerik" yok (HTTPS sayfasında HTTP resimleri/komut dosyaları).
• 3. Ödeme sayfasını açın: form etki alanı siteyle eşleşir veya iframe'de iyi bilinen bir PSP'dir.

3) Korumalı ödemeler: norm olarak kabul edilir

PCI DSS: site PAN/CVV'nin kendisini toplamaz - barındırılan alanların/iframe PSP'nin içindeki kart alanları veya sağlayıcının ödeme sayfasına yönlendirme.
Tokenization: kart jetona dönüşür; Sadece site "last4've bir token, asla CVV depolar.
3-D Güvenli 2. X/SCA: Bankada onay/biyometrik itin.
Apple Pay/Google Pay: ağ belirteçleri, minimum manuel giriş.
Banka hesap yöntemleri (PayID/Osko, vb.): Doğru detaylar ve kredilendirme onayı gösterilir; "Sohbete bir kart ekranı göndermek" için herhangi bir istek yoktur.
Kripto ödemeleri: PSP sayfasında adres/QR oluşturulur, miktar/ağ kaydedilir, ağ ve komisyonlar hakkında bir uyarı vardır.

4) Oturumlar ve giriş

Anahtarlar/ FIDO2 veya 2FA (TOTP/app, FIDO anahtarı; SMS bir geri dönüştür).
Куки: 'Güvenli', 'HttpOnly', 'SameSite = Lax/Strict'; Zaman aşımına göre otomatik çıkış.
Cihaz yönetimi: etkin oturumların listesi,'tüm cihazlardan "çıkın.
Şifre giriş/değişiklik uyarıları e-posta/push ile.

5) Ön uç ve arka uç koruması (dolaylı işaretleyiciler)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (anti-clickjacking).
Ödeme sayfasında üçüncü taraf'sol "komut dosyaları olmadan (anti-skimmer/Magecart).
Kısıtlama/maskeleme verileri: Profilde yalnızca "last4've gizlenmiş e-posta/telefon görüntülenir.

6) CCM/Belgeler - Güvenli Yükleme Nasıl Yapılır

Yalnızca güvenli bir kabin aracılığıyla (HTTPS/TLS 1. 2 +) yükleyici ile; Sohbet/postaya belge göndermeyin.
Desteklenen formatlar (PDF/JPG/PNG), boyut sınırı, açık saklama/silme politikası.
Filigranlar ("KYC only\[ site ]\[ date]"), gizli kart numaraları/QR.
Gizlilik politikası: raf ömrü, üçüncü taraflara transfer (KYC sağlayıcısı), depolama ülkesi.

7) Mobil ve uygulamalar

ARC/uzantılar olmadan: tarayıcıda (HTML5) veya resmi mağazalarda (App Store/Google Play) oynayın.
Başvuru hakları asgari düzeydedir; "SMS/kişiler/aramalar" yok.
Halka açık Wi-Fi - yalnızca VPN ile ve bir CUS/kart girmeden.
OS/Browser otomatik güncelleştirmeleri etkinleştirildi.

8) Hızlı site denetimi (15 dakika)

1. Lisans/kayıt (2 dakika): Sitede - numara ve tıklama, tüzel kişilik/etki alanı kayıt defterinde eşleşir.
2. TLS/sertifika (2 dk): Kilit - sertifika (SAN, terim, CA); DevTools - TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20.
3. HSTS/yönlendirmeler (1 dk): Zorunlu HTTPS, kişisel hesap/yazarkasa HTTP sürümleri yok.
4. Ödeme formu (4 dakika): barındırılan alanlar/iframe PSP, site kodunda 'name =' cardnumber 'yok; 3-D Güvenli 2. x; tokenization; Yöntemler ve SLA ödemeleri yayınlandı.
5. Hesap (3 dk): 2FA/Passkeys açın; Girişlerin/cihazların günlüklerini kontrol edin; 'HttpOnly/Secure' çerezleri.
6. KYC (3 dk): kabine bootloader, Gizlilik politikası, e-posta ile gönderme yasağı.

9) Güvenlik matrisi (100 puan)

TLS/Sertifika - 20 (TLS 1. 2/1. 3, ECDHE + AES-GCM/ChaCha20, CT, HSTS)
Ödemeler/PCI - 25 (PSP-iframe/yönlendirme, tokenization, 3-DS 2. x, PAN/CVV depolama alanı yok)
Sessions/2FA - 15 (Passkeys/TOTP, güvenli çerezler, cihaz yönetimi)
Ön koruma - 10 (CSP, yönlendirici-politika, çerçeve-ataları, kasada üçüncü taraf komut dosyaları yok)
KYC/Gizlilik - 10 (kabine yükleme, depolama süresi, e-posta yasağı)
Lisans/kayıt - 10 (kayıt defterine tıklayın, tüzel kişiliği/etki alanını eşleştirin)
Mobil - 5 (ARC/uzantı yok, resmi. stori)
Ödemelerin şeffaflığı - 5 (yöntemler, min/max, komisyonlar, SLA, aynı yöntem)
Yorum: Güçlü bir öneri ≥85; 75-84 - fit; 60-74 - ortalama; <60 - kaçının.

10) Kırmızı bayraklar (hemen geçmiş)

Giriş/ödeme sayfalarında HTTPS yok, karışık içerik.
TLS 1. 0/1. 1, eski şifreler, kendinden imzalı/süresi dolmuş sertifika.
Sitenin DOM'undaki kart alanları (ve iframe PSP'de değil); Sohbet/posta için bir fotoğraf kartı/KUS gönderme istekleri.
3D Secure 2 yok, tokenizasyon yok; PAN/CVV'yi hesaba kaydetme.
2FA/Passkeys yok; 'HttpOnly/Secure' olmayan çerezler.
Oyun/ödeme için ACA/geliştirmeleri gerektirir.
Veri saklama/aktarma olmadan gizlilik politikası.

11) Doğrulama kartı şablonu (bir siteyi doldurun)

Domain/lisans/kayıt linki:
• TLS/Sertifika: Sürüm/Şifre/CA/Dönem/HSTS/CT
• Ödemeler: PSP-iframe/yönlendirme/ 3-DS 2/tokenization/methods ve SLA/same-method
• Hesap: 2FA/Passkeys/secure çerezleri/oturum yönetimi
• KYC/Gizlilik: kabine yükleme/raf ömrü/yasak e-posta
• Ön savunma: CSP/frame-ancestors/referrer-policy
• Mobil: ofis. mağazalar/ARA/uzantıları yok
Final skoru (0-100):
• 12) SSS (kısa)

Kilit = güvenli mi? Hayır. TLS sürümü, şifre, sertifika, HSTS ve ödeme formunun nasıl oluşturulduğunu görün.
Siteye bir harita girebilir miyim? Daha güvenli - iframe/yönlendirme PSP aracılığıyla. Site PAN'ın kendisini kullanıyorsa, PCI DSS (nadir) ile uyumlu olmalıdır.
SMS-2FA normlar mı? Daha iyi TOTP/FIDO; SMS bir geri dönüştür.
Sohbet etmek için KYC belgeleri? Hayır. Sadece HTTPS'deki kabine önyükleyici aracılığıyla.

Sonuç

Verilerin ve ödemelerin güvenli girişi "adres çubuğunda bir kilit'değil, bir dizi işarettir: modern TLS, HSTS, sürprizsiz bir sertifika, PSP'den tokenizasyon ve 3-D Secure 2 ile ödeme formları, 2FA/Passkeys, güvenli oturumlar ve kabine KYC apload. 15 dakikalık bir denetim yapın, siteyi 100 puanlık bir matriste değerlendirin ve kırmızı bayraklı projeleri kesin - bu şekilde para için oynarken müdahale ve veri sızıntısı riskini en aza indirirsiniz.