Maʼlumot va toʻlovlarni kiritish xavfsiz - SSL, shifrlash
💡Maqsad - shaxsiy/to’lov ma’lumotlarini xavfsiz kiritish mumkin bo’lgan saytlarni tutib olish, fishing va sizib chiqish xavfi bo’lgan saytlardan tezda ajratishdir.
1) Sayt xavfsizligining bazaviy minimumi
TLS faqat 1. 2/1. 3 (hech qanday 1. 0/1. 1).
Zamonaviy shifrlar: AES-GCM yoki ChaCha20-Poly1305 bilan ECDHE (perf. mobailda).
PFS (Perfect Forward Secrecy) — через ECDHE.
Amaldagi sertifikat (SHA-256), RSA ≥ 2048 yoki ECDSA kaliti P-256/384.
HSTS (+ preloaded): qattiq majburlash HTTPS.
HTTP dan HTTPS ga tahrirlash istisnosiz.
Certificate Transparency (SCT) - sertifikat tafsilotlarida koʻrinadi.
2) Sertifikatni 30-60 soniyada qanday tekshirish mumkin
1. Qulfni bosing → Sertifikat:
- Kimga berilgan = aniq domen/subdomen (SAN).
- Kim tomonidan berilgan - tan olinadigan CA.
- Muddat tugamadi/ertaga emas. 2. В DevTools → Security:
- TLS 1. 2/1. 3, ECDHE и AES-GCM/ChaCha20.
- «mixed content» mavjud emas (HTTPS sahifasida HTTP rasmlar/skriptlar).
- 3. To’lov sahifasini oching: shakl domeni sayt yoki iframe’dagi mashhur PSP bilan mos keladi.
- TLS/sertifikat: versiya/shifr/CA/muddat/HSTS/CT
- To’lovlar: PSP-iframe/redirekt/ 3-DS 2/tokenizatsiya/usullar va SLA/same-method
- Akkaunt: 2FA/Passkeys/secure cookies/seanslarni boshqarish
- KYC/Privacy: kabinet appload/saqlash muddati/taqiqlangan e-mail
- Front-himoya: CSP/frame-ancestors/referrer-policy
- Mobayl: ofits. storlar/hech qanday ARC/kengaytmalar Yakuniy ball (0-100):
- 12) FAQ (qisqacha)
3) Himoyalangan to’lovlar: norma deb hisoblash
PCI DSS: saytning oʻzi PAN/CVV yigʻmaydi - xosted fields/iframe PSP ichidagi xarita maydonlari yoki provayderning toʻlov sahifasiga redirekt.
Tokenizatsiya: xarita tokenga aylanadi; saytda faqat «last4» va token saqlanadi, hech qachon CVV.
3-D Secure 2. x/SCA: push-tasdiqlash/bankdagi biometriya.
Apple Pay/Google Pay: tarmoq tokenlari, qo’llar bilan minimal kiritish.
Bank akkauntining usullari (PayID/Osko, shu kabilar): aniq rekvizitlari va o’tkazilganligini tasdiqlash ko’rsatiladi; «chatga karta skrinshotini yuborish» iltimosi yoʻq.
Kripto toʻlovlari: manzil/QR PSP sahifasida yaratilgan, summa/tarmoq yozilgan, tarmoq va komissiyalar haqida ogohlantirish mavjud.
4) Sessiyalar va login
Passkeys/ FIDO2 yoki 2FA (TOTR/app, FIDO-kalit; SMS - zaxira variant).
Куки: `Secure`, `HttpOnly`, `SameSite=Lax/Strict`; taymaut bo’yicha avto-logaut.
Qurilmalarni boshqarish: faol sessiyalar roʻyxati, «barcha qurilmalardan» chiqish.
E-mail/push orqali kirish/parolni almashtirish alertlari.
5) Front- va bekend-himoya (bilvosita markerlar)
CSP (Content-Security-Policy), X-Content-Type-Options, Referrer-Policy, frame-ancestors (anti-klikjeking).
To’lov sahifasida uchinchi tomon «chap» skriptlarisiz (anti-skimmer/Magecart).
Maʼlumot chegarasi/masking: Profilda faqat «last4» va yashirin elektron pochta/telefon koʻrsatiladi.
6) MSK/hujjatlar - qanday qilib xavfsiz yuklash kerak
Faqat himoyalangan kabinet orqali (HTTPS/TLS 1. 2 +) yuklovchi bilan; hujjatlarni chat/pochta orqali yubormang.
Qoʻllab-quvvatlanadigan formatlar (PDF/JPG/PNG), oʻlcham chegarasi, aniq saqlash/oʻchirish siyosati.
Suv belgilari («faqat KYC\[ sayt ]\[ sana]»), yashirin kartalar/QR raqamlari.
Privacy siyosati: saqlash muddati, uchinchi shaxslarga topshirish (KYC-provayder), saqlash mamlakati.
7) Mobil va ilovalar
ARK/kengaytirishlarsiz: brauzerda (HTML5) yoki rasmiy do’konlarda (App Store/Google Play) o’ynang.
Ilova huquqi - eng kam; «SMS/kontaktlar/qoʻngʻiroqlar» mavjud emas.
Ommaviy Wi-Fi - faqat VPN bilan va KUS/kartani kiritmasdan.
Avtomatik yangilanishlar/brauzer yoqilgan.
8) Saytning tezkor auditi (15 daqiqa)
1. Litsenziya/reyestr (2 daqiqa): saytda - raqam va klik, reyestrda yuridik shaxs/domen mos keladi.
2. TLS/sertifikat (2 daqiqa): qulf → sertifikat (SAN, muddat, CA); DevTools → TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20.
3. HSTS/tahririyatlar (1 daqiqa): majburiy HTTPS, shaxsiy kabinet/kassaning HTTP versiyasi mavjud emas.
4. To’lov shakli (4 daqiqa): hosted fields/iframe PSP, no’name = «cardnumber»’sayt kodida; 3-D Secure 2. x; tokenizatsiya; to’lovlarning SLA usullari e’lon qilindi.
5. Akkaunt (3 daqiqa): 2FA/Passkeys kiriting; kirish/qurilmalar daftarlarini tekshiring; cookie’HttpOnly/Secure’.
6. KYC (3 daqiqa): kabinetga yuklovchi, Privacy siyosati, elektron pochta orqali jo’natishni taqiqlash.
9) Xavfsizlikni baholash matritsasi (100 ball)
TLS/sertifikat - 20 (TLS 1. 2/1. 3, ECDHE+AES-GCM/ChaCha20, CT, HSTS)
To’lovlar/PCI - 25 (PSP-iframe/redirekt, tokenizatsiya, 3-DS 2. x, PAN/CVV saqlanmagan holda)
Sessiyalar/2FA - 15 (Passkeys/TOTP, secure cookies, qurilmalarni boshqarish)
Front-himoya - 10 (CSP, referrer-policy, frame-ancestors, kassada boshqa skriptlar yo’q)
KYC/Privacy - 10 (kabinet apploadi, saqlash muddatlari, e-mail taqiqlangan)
Litsenziya/reyestr - 10 (reyestrga bosish, yuridik shaxs/domen mos kelishi)
Mobayl - 5 (ARC/kengaytmalar, ofitslar yo’q) storlar)
To’lovlarning shaffofligi - 5 (usullar, min/max, komissiyalar, SLA, same-method)
Talqin: ≥ 85 - kuchli tavsiya; 75-84 - yillik; 60-74 - o’rtacha; <60 - qochish.
10) Qizil bayroqlar (bir vaqtning o’zida)
Login/to’lov sahifalarida HTTPS yo’q, aralash kontent.
TLS 1. 0/1. 1, eskirgan shifrlar, o’z-o’zidan imzolangan/tugagan sertifikat.
Saytning DOM kartochka maydonlari (iframe PSPda emas); chat/pochtaga karta/KTS fotosuratlarini yuborish to’g "risidagi iltimosnomalar.
3-D Secure 2 yoʻq, tokenlash yoʻq; hisobda PAN/CVV saqlash.
2FA/Passkeys yo’q; ’HttpOnly/Secure’ kukisiz.
O’yin/to’lov uchun ARC/kengaytirishni talab qiladi.
Ma’lumotlarni saqlash/uzatish muddatlarisiz maxfiylik siyosati.
11) Tekshirish kartochkasining namunasi (bitta saytga to’ldiring)
Domen/litsenziya/reyestrga havola:
Qulf = xavfsiz? Yo’q. TLS versiyasi, shifr, sertifikat, HSTS va to’lov shakli qanday o’rnatilganiga qarang.
Xaritani saytning oʻzida kiritish mumkinmi? Xavfsizroq - PSP iframe/redirekt orqali. Agar saytning oʻzi PANni qayta ishlasa, u PCI DSS (kamdan-kam) ga muvofiq boʻlishi kerak.
SMS-2FA normalar? Yaxshiroq TOTP/FIDO; SMS - zaxira variant.
KYC chat hujjatlari? Yo’q. Faqat kabinet yuklagichi orqali HTTPS.
Jami
Ma’lumotlar va to’lovlarni xavfsiz kiritish «manzillar qatoridagi qulf» emas, balki zamonaviy TLS, HSTS, kutilmagan sertifikat, tokenizatsiya qilingan PSP va 3-D Secure 2 to’lov shakllari, 2FA/Passkeys, himoyalangan sessiyalar va KYC-appload kabinetlari kabi belgilar majmuidir. 15 daqiqalik auditdan o’ting, saytni 100 balli matritsada baholang va qizil bayroqli loyihalarni kesib tashlang - pul bilan o’ynashda ma’lumotlarni ushlash va sizib chiqish xavfini kamaytiring.
