Де безпечно вводити дані і платежі - SSL, шифрування

1) Базовий мінімум безпеки сайту

TLS тільки 1. 2/1. 3 (ніяких 1. 0/1. 1).

Сучасні шифри: ECDHE з AES-GCM або ChaCha20-Poly1305 (перф. на мобайлі).

PFS (Perfect Forward Secrecy) — через ECDHE.

Діючий сертифікат (SHA-256), ключ RSA ≥2048 або ECDSA P-256/384.

HSTS (+ бажано preloaded): жорсткий примус до HTTPS.

Редирект з HTTP на HTTPS без винятків.

Certificate Transparency (SCT) - видно в подробицях сертифіката.

2) Як перевірити сертифікат за 30-60 секунд

• Кому виданий = точний домен/піддомен (SAN).
• Ким виданий - впізнаваний CA.
• Термін - не закінчився/не «завтра».

• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• Немає «mixed content» (HTTP-картинки/скрипти на HTTPS-сторінці).
• 3. Відкрийте платіжну сторінку: домен форми збігається з сайтом або це відомий PSP в iframe.

3) Захищені платежі: Що вважати нормою

PCI DSS: сайт не збирає PAN/CVV сам - поля карти всередині хостed fields/iframe PSP або редирект на платіжну сторінку провайдера.

Токенізація: карта перетворюється на токен; на сайті зберігається тільки «last4» і токен, ніколи CVV.

3-D Secure 2. x / SCA: пуш-підтвердження/біометрія в банку.

Apple Pay / Google Pay: мережеві токени, мінімальне введення руками.

Методи банківського аккаунта (PayID/Osko, т.п.): показуються точні реквізити та підтвердження зарахування; немає прохань «надіслати скрін карти в чат».

Криптоплатежі: адреса/QR генерується на сторінці PSP, сума/мережа прописані, є попередження про мережу та комісії.

4) Сесії та логін

Passkeys/ FIDO2 або 2FA (ТОТР/апп, FIDO-ключ; SMS - запасний варіант).

Кукі: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; авто-логаут по таймауту.

Управління пристроями: список активних сесій, вихід «з усіх пристроїв».

Алерти входу/зміни пароля по e-mail/пушу.

5) Фронт- і бекенд-захист (непрямі маркери)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (анти-клікджекінг).

Без сторонніх «лівих» скриптів на платіжній сторінці (анти-скіммер/Magecart).

Обмеження/masking даних: у профілі відображаються тільки «last4» і замаскований e-mail/телефон.

6) КУС/документи - як безпечно завантажувати

Тільки через захищений кабінет (HTTPS/TLS 1. 2 +) із завантажувачем; не надсилайте документи в чат/поштою.

Підтримувані формати (PDF/JPG/PNG), ліміт за розміром, явна політика зберігання/видалення.

Водяні знаки («тільки для KYC\[ сайт ]\[ дата]»), приховані номери карт/QR.

Політика Privacy: термін зберігання, передача третім сторонам (KYC-провайдер), країна зберігання.

7) Мобайл і додатки

Без АРК/розширень: грайте в браузері (HTML5) або офіційних магазинах (App Store/Google Play).

Права додатку - мінімальні; немає «СМС/контакти/дзвінки».

Публічний Wi-Fi - тільки з VPN і без введення КУС/карти.

Автооновлення ОС/браузера включені.

8) Швидкий аудит сайту (15 хвилин)

1. Ліцензія/реєстр (2 хв): на сайті - номер і кліка, в реєстрі збігаються юрособа/домен.

2. TLS/сертифікат (2 хв): замок → сертифікат (SAN, термін, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.

3. HSTS/редиректи (1 хв): примусовий HTTPS, немає HTTP-версій особистого кабінету/каси.

4. Платіжна форма (4 хв): hosted fields/iframe PSP, ні'name = «cardnumber»'в коді сайту; 3-D Secure 2. x; токенізація; методи і SLA виплат опубліковані.

5. Акаунт (3 хв): увімкніть 2FA/Passkeys; перевірте логи входів/пристроїв; кукі'HttpOnly/Secure'.

6. KYC (3 хв): завантажувач в кабінеті, політика Privacy, заборона на відправку по e-mail.

9) Матриця оцінки безпеки (100 балів)

TLS/сертифікат - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)

Платежі/PCI - 25 (PSP-iframe/редирект, токенізація, 3-DS 2. x, без зберігання PAN/CVV)

Сесії/2FA - 15 (Passkeys/TOTP, secure cookies, управління пристроями)

Фронт-захист - 10 (CSP, referrer-policy, frame-ancestors, немає сторонніх скриптів на касі)

KYC/Privacy - 10 (кабінетний аплоад, терміни зберігання, заборона e-mail)

Ліцензія/реєстр - 10 (кліка до реєстру, збіг юрособи/домену)

Мобайл - 5 (немає АРК/розширень). стори)

Прозорість виплат - 5 (методи, min/max, комісії, SLA, same-method)

Інтерпретація: ≥85 - сильна рекомендація; 75-84 - придатно; 60-74 - середньо; <60 - уникати.

10) Червоні прапори (повз відразу)

Немає HTTPS на сторінках логіна/платежів, змішаний контент.

TLS 1. 0/1. 1, застарілі шифри, самопідписаний/закінчився сертифікат.

Карткові поля в DOM сайту (а не в iframe PSP); прохання надіслати фото карти/КУС в чат/пошту.

Немає 3-D Secure 2, немає токенізації; збереження PAN/CVV в акаунті.

Немає 2FA/Passkeys; кукі без'HttpOnly/Secure'.

Вимагають АРК/розширення для гри/платежу.

Політика приватності без термінів зберігання/передачі даних.

11) Шаблон картки перевірки (заповніть на один сайт)

• TLS/сертифікат: версія/шифр/CA/термін/HSTS/CT
• Платежі: PSP-iframe/редирект/ 3-DS 2/токенізація/методи і SLA/same-method
• Аккаунт: 2FA/Passkeys/secure cookies/управління сесіями
• KYC/Privacy: кабінетний аплоад/термін зберігання/заборона e-mail
• Фронт-захист: CSP / frame-ancestors / referrer-policy
• Мобайл: . стори/немає АРК/розширень

• 12) FAQ (коротко)

Замок = безпечно? Ні, ні. Дивіться версію TLS, шифр, сертифікат, HSTS і як вбудована платіжна форма.

Чи можна вводити карту на самому сайті? Безпечніше - через iframe/редирект PSP. Якщо сайт сам обробляє PAN, він повинен відповідати PCI DSS (рідкість).

SMS-2FA норм? Краще TOTP/FIDO; SMS - запасний варіант.

Документи по KYC в чат? Ні, ні. Тільки через кабінетний завантажувач на HTTPS.

Підсумок

Безпечне введення даних і платежів - це не «замок в адресному рядку», а сукупність ознак: сучасний TLS, HSTS, сертифікат без сюрпризів, платіжні форми від PSP з токенізацією і 3-D Secure 2, 2FA/Passkeys, захищені сесії і кабінетний KYC-аплоад. Пройдіть 15-хвилинний аудит, оцініть сайт по 100-бальній матриці і відсікайте проекти з червоними прапорами - так ви мінімізуєте ризик перехоплення і витоку даних при грі на гроші.