安全輸入數據和付款的地方-SSL、加密

1）基本站點安全最低限度

TLS只有1。2/1.3（無1）0/1.1).
現代密碼：帶有AES-GCM或ChaCha20-Poly1305的ECDHE（perf。在移動上）。
PFS (Perfect Forward Secrecy) — через ECDHE.
有效證書（SHA-256），RSA ≥2048或ECDSA密鑰P-256/384。
HSTS（+建議預加註）：對HTTPS的硬脅迫。
從HTTP到HTTPS的重復無異常。
Certificate Transparency （SCT）-在證書的詳細信息中可見。

2）如何在30-60秒內驗證證書

1.單擊「鎖定」→證書：

分配給誰=確切域/子域（SAN）。
由誰簽發-可識別的CA。
截止日期未到期/「明天」。
2.В DevTools → Security:

• TLS 1.2/1.3, ECDHE и AES-GCM/ChaCha20.
• 沒有「混合內容」（HTTPS頁面上的HTTP圖片/腳本）。
• 3.打開付款頁面：表單域與站點相同,或者是iframe中已知的PSP。

3）受保護付款：什麼被認為是常態

PCI DSS：網站本身不收集PAN/CVV-托管場/iframe PSP內的卡字段，或每個提供商付費頁的重新劃分。
令牌化：卡片變成令牌；該站點僅存儲「last4」和令牌，從未存儲過CVV。
3-D Secure 2.x/SCA：銀行的推測確認/生物識別。
Apple Pay/Google Pay：網絡令牌,最少手動輸入。
銀行帳戶方法（PayID/Osko,等）：顯示準確的詳細信息和註冊證明；沒有要求「在聊天中發送地圖屏幕」。
加密付款：在PSP 頁面上生成地址/QR、註明金額/網絡,並發出網絡和傭金警告。

4）會議和登錄

Passkeys/ FIDO2或2FA（猛虎組織/app，FIDO鑰匙；SMS是備用選項）。
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`;自動登錄到taymout。
設備管理：活動會話列表,「退出所有設備」。
Alerts 通過電子郵件/push登錄/更改密碼。

5）前端和後端保護（間接標記）

CSP（內容-安全-政策），X-Content-Type-Options，Referrer-Policy，frame-ancestors（反點擊夾克）。
在付款頁面上沒有第三方「左側」腳本（反skimmer/Magecart）。
數據限制/掩碼：配置文件僅顯示「last4」和偽裝的電子郵件/電話。

6） CUS/文檔-如何安全下載

僅通過受保護的內閣（HTTPS/TLS 1。2+）帶有加載程序；不要將文件發送到聊天/郵寄。
支持的格式（PDF/JPG/PNG）、大小限制、顯式存儲/刪除策略。
水印（「僅限於KYC\［site］\［日期］」），隱藏的卡號/QR。
Privacy Policy：保管期,轉讓給第三方（KYC提供商）,保管國。

7） Mobile和應用程序

沒有ARC/擴展：在瀏覽器（HTML5）或官方商店（App Store/Google Play）中播放。
附件權利-最低；沒有「短信/聯系/通話」。
公共Wi-Fi-僅帶有VPN且沒有KUS/卡輸入。
啟用OS/瀏覽器自動更新。

8）快速網站審計（15分鐘）

1.許可證/註冊表（2分鐘）：網站上的號碼和點擊,註冊表中的法人實體/域匹配。
2.TLS/證書（2分鐘）：鎖→證書（SAN，學期，CA）；DevTools → TLS 1.2/1.3, ECDHE+AES-GCM/ChaCha20.
3.HSTS/redects （1分鐘）：強制HTTPS,沒有HTTP版本的個人錢包/收銀機。
4.付款形式（4分鐘）：網站代碼中托管場/iframe PSP，沒有'name='cardnumber'；3-D Secure 2.x;令牌化；方法和SLA付款已經公布。
5.帳戶（3分鐘）：包括2FA/Passkeys；檢查輸入/設備日誌；「HttpOnly/Secure」 cookie。
6.KYC （3分鐘）：辦公室裝載機,隱私政策,禁止發送電子郵件。

9）安全評估矩陣（100分）

TLS/證書-20（TLS 1。2/1.3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
付款/PCI-25（PSP-iframe/重新分配，令牌化，第2 3-DS。x，沒有PAN/CVV存儲）
會議/2FA-15 （Paskeys/TOTP, secure cookies,設備管理）
前端保護-10 （CSP, referrer policy, frame-ancestors,收銀機上沒有第三方腳本）
KYC/Privacy-10（辦公室升級、保管期限、電子郵件禁令）
許可證/註冊表-10（點擊註冊表,法人/域匹配）
Mobile-5（沒有ARC/擴展，ofitz。Stores）
付款透明度-5（方法,min/max,傭金,SLA, same-method）
解釋：≥85是強有力的建議；75-84-年份；60-74-中等；<60-避免。

10）紅旗（立即過去）

登錄/支付頁面上沒有HTTPS，混合內容。
TLS 1.0/1.1、舊密碼,自簽名/過期證書。
站點的DOM（而不是iframe PSP）中的卡字段；請求在聊天/郵件中發送地圖/CUS照片。
沒有3-D Secure 2，沒有令牌化；將PAN/CVV保留在帳戶中。
沒有2FA/Passkeys；沒有「HttpOnly/Secure」的cookie。
需要ARC/擴展才能玩/付款。
沒有數據保留/傳輸時間表的隱私政策。

11）驗證卡模板（填寫一個站點）

域/許可證/註冊表鏈接：
TLS/證書：版本/密碼/CA/期限/HSTS/CT
付款：PSP-iframe/redirect/ 3-DS 2/令牌/方法和 SLA/same-method
帳戶：2FA/Passkeys/secure cookie/會議管理
KYC/Privacy：機箱升級/保存/電子郵件禁令
防守前線：CSP/frame-ancestors/referrer-policy
Mobile：offitz。stors/no ARC/擴展
最終得分（0-100）：

12）常見問題（簡稱）

城堡=安全？沒有。請參閱TLS版本，密碼，證書，HSTS以及如何嵌入付款形式。
是否可以在網站上輸入地圖?更安全-通過iframe/redirect PSP。如果站點本身處理PAN，則必須符合PCI DSS（罕見）。
SMS-2FA規範？優於TOTP/FIDO；SMS是備用選項。
KYC的聊天文檔?沒有。僅通過HTTPS上的文件櫃加載程序。

結果

安全的數據和支付輸入不是「地址欄鎖」，而是特征集合：現代TLS，HSTS，無驚喜證書，帶令牌化的PSP付款表單和3-D Secure 2，2FA/Passkeys，受保護的會話和KYC-apload。進行15分鐘的審計，根據100分矩陣評估網站，並切斷帶有紅旗的項目-這樣你就可以最大程度地減少在玩錢時被攔截和數據泄露的風險。