Де безпечно вводити дані і платежі - SSL, шифрування

1) Базовий мінімум безпеки сайту

TLS тільки 1. 2/1. 3 (ніяких 1. 0/1. 1).
Сучасні шифри: ECDHE з AES-GCM або ChaCha20-Poly1305 (перф. на мобайлі).
PFS (Perfect Forward Secrecy) — через ECDHE.
Діючий сертифікат (SHA-256), ключ RSA ≥2048 або ECDSA P-256/384.
HSTS (+ бажано preloaded): жорсткий примус до HTTPS.
Редирект з HTTP на HTTPS без винятків.
Certificate Transparency (SCT) - видно в подробицях сертифіката.

2) Як перевірити сертифікат за 30-60 секунд

1. Натисніть на «замок» → Сертифікат:

• Кому виданий = точний домен/піддомен (SAN).
• Ким виданий - впізнаваний CA.
• Термін - не закінчився/не «завтра».
2. В DevTools → Security:
• TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
• Немає «mixed content» (HTTP-картинки/скрипти на HTTPS-сторінці).
• 3. Відкрийте платіжну сторінку: домен форми збігається з сайтом або це відомий PSP в iframe.

3) Захищені платежі: Що вважати нормою

PCI DSS: сайт не збирає PAN/CVV сам - поля карти всередині хостed fields/iframe PSP або редирект на платіжну сторінку провайдера.
Токенізація: карта перетворюється на токен; на сайті зберігається тільки «last4» і токен, ніколи CVV.
3-D Secure 2. x / SCA: пуш-підтвердження/біометрія в банку.
Apple Pay / Google Pay: мережеві токени, мінімальне введення руками.
Методи банківського аккаунта (PayID/Osko, т.п.): показуються точні реквізити та підтвердження зарахування; немає прохань «надіслати скрін карти в чат».
Криптоплатежі: адреса/QR генерується на сторінці PSP, сума/мережа прописані, є попередження про мережу та комісії.

4) Сесії та логін

Passkeys/ FIDO2 або 2FA (ТОТР/апп, FIDO-ключ; SMS - запасний варіант).
Кукі: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; авто-логаут по таймауту.
Управління пристроями: список активних сесій, вихід «з усіх пристроїв».
Алерти входу/зміни пароля по e-mail/пушу.

5) Фронт- і бекенд-захист (непрямі маркери)

CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (анти-клікджекінг).
Без сторонніх «лівих» скриптів на платіжній сторінці (анти-скіммер/Magecart).
Обмеження/masking даних: у профілі відображаються тільки «last4» і замаскований e-mail/телефон.

6) КУС/документи - як безпечно завантажувати

Тільки через захищений кабінет (HTTPS/TLS 1. 2 +) із завантажувачем; не надсилайте документи в чат/поштою.
Підтримувані формати (PDF/JPG/PNG), ліміт за розміром, явна політика зберігання/видалення.
Водяні знаки («тільки для KYC\[ сайт ]\[ дата]»), приховані номери карт/QR.
Політика Privacy: термін зберігання, передача третім сторонам (KYC-провайдер), країна зберігання.

7) Мобайл і додатки

Без АРК/розширень: грайте в браузері (HTML5) або офіційних магазинах (App Store/Google Play).
Права додатку - мінімальні; немає «СМС/контакти/дзвінки».
Публічний Wi-Fi - тільки з VPN і без введення КУС/карти.
Автооновлення ОС/браузера включені.

8) Швидкий аудит сайту (15 хвилин)

1. Ліцензія/реєстр (2 хв): на сайті - номер і кліка, в реєстрі збігаються юрособа/домен.
2. TLS/сертифікат (2 хв): замок → сертифікат (SAN, термін, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/редиректи (1 хв): примусовий HTTPS, немає HTTP-версій особистого кабінету/каси.
4. Платіжна форма (4 хв): hosted fields/iframe PSP, ні'name = «cardnumber»'в коді сайту; 3-D Secure 2. x; токенізація; методи і SLA виплат опубліковані.
5. Акаунт (3 хв): увімкніть 2FA/Passkeys; перевірте логи входів/пристроїв; кукі'HttpOnly/Secure'.
6. KYC (3 хв): завантажувач в кабінеті, політика Privacy, заборона на відправку по e-mail.

9) Матриця оцінки безпеки (100 балів)

TLS/сертифікат - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
Платежі/PCI - 25 (PSP-iframe/редирект, токенізація, 3-DS 2. x, без зберігання PAN/CVV)
Сесії/2FA - 15 (Passkeys/TOTP, secure cookies, управління пристроями)
Фронт-захист - 10 (CSP, referrer-policy, frame-ancestors, немає сторонніх скриптів на касі)
KYC/Privacy - 10 (кабінетний аплоад, терміни зберігання, заборона e-mail)
Ліцензія/реєстр - 10 (кліка до реєстру, збіг юрособи/домену)
Мобайл - 5 (немає АРК/розширень). стори)
Прозорість виплат - 5 (методи, min/max, комісії, SLA, same-method)
Інтерпретація: ≥85 - сильна рекомендація; 75-84 - придатно; 60-74 - середньо; <60 - уникати.

10) Червоні прапори (повз відразу)

Немає HTTPS на сторінках логіна/платежів, змішаний контент.
TLS 1. 0/1. 1, застарілі шифри, самопідписаний/закінчився сертифікат.
Карткові поля в DOM сайту (а не в iframe PSP); прохання надіслати фото карти/КУС в чат/пошту.
Немає 3-D Secure 2, немає токенізації; збереження PAN/CVV в акаунті.
Немає 2FA/Passkeys; кукі без'HttpOnly/Secure'.
Вимагають АРК/розширення для гри/платежу.
Політика приватності без термінів зберігання/передачі даних.

11) Шаблон картки перевірки (заповніть на один сайт)

Домен/ліцензія/посилання на реєстр:
• TLS/сертифікат: версія/шифр/CA/термін/HSTS/CT
• Платежі: PSP-iframe/редирект/ 3-DS 2/токенізація/методи і SLA/same-method
• Аккаунт: 2FA/Passkeys/secure cookies/управління сесіями
• KYC/Privacy: кабінетний аплоад/термін зберігання/заборона e-mail
• Фронт-захист: CSP / frame-ancestors / referrer-policy
• Мобайл: . стори/немає АРК/розширень
Підсумковий бал (0-100):
• 12) FAQ (коротко)

Замок = безпечно? Ні, ні. Дивіться версію TLS, шифр, сертифікат, HSTS і як вбудована платіжна форма.
Чи можна вводити карту на самому сайті? Безпечніше - через iframe/редирект PSP. Якщо сайт сам обробляє PAN, він повинен відповідати PCI DSS (рідкість).
SMS-2FA норм? Краще TOTP/FIDO; SMS - запасний варіант.
Документи по KYC в чат? Ні, ні. Тільки через кабінетний завантажувач на HTTPS.

Підсумок

Безпечне введення даних і платежів - це не «замок в адресному рядку», а сукупність ознак: сучасний TLS, HSTS, сертифікат без сюрпризів, платіжні форми від PSP з токенізацією і 3-D Secure 2, 2FA/Passkeys, захищені сесії і кабінетний KYC-аплоад. Пройдіть 15-хвилинний аудит, оцініть сайт по 100-бальній матриці і відсікайте проекти з червоними прапорами - так ви мінімізуєте ризик перехоплення і витоку даних при грі на гроші.