WinUpGo
Demo oyunlarƏN YAXŞI Kazino
ƏN YAXŞI KazinoKAZİNO ProqramıDünya KazinoTelegram KazinoBot Kazinoİdman Kazinoİsti Mövzular
KAZİNO ProqramıDünya KazinoTelegram KazinoBot Kazinoİdman Kazinoİsti Mövzular
Axtarış
WinUpGo Wiki - onlayn casino, slot və iGaming sənayesinin ensiklopediyası WUG WIKI
Depozitsiz bonuslar Bonuslar
Oyun avtomatlarının provayderləri Provayderlər
Oyun maşınları Top Slots
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Şəxsi kabinet Kabinet
Community Chat Australian Pokies
Onlayn söhbət Chat
Onlayn dəstək Dəstək
Kriptovalyuta Casino Kriptovalyutalar Torrent Gear - universal torrent axtarış! Torrent Gear

Ödəniş sistemlərində məlumatların şifrələnməsi necə işləyir

Ödəniş sistemləri ən həssas məlumatlarla işləyir - PAN (kart nömrəsi), etibarlılıq müddəti, CVV/CVC, 3-DS tokenləri, bank rekvizitləri, pul kisələrinin identifikatorları. Onların sızması - cərimələr, banklardan/PSP-dən ticarətin geri çağırılması və birbaşa maliyyə itkisidir. Müdafiə çox qatlı qurulur: kanal şifrələmə (TLS), saxlama şifrələmə və/və ya tokenizasiya, ciddi açar idarəetmə və etibarlı hardware modulları (HSM). Aşağıda - sadə dildə bütün təhlükəsizlik «konveyer».

Əsas kərpiclər

Simmetrik kriptoqrafiya

Alqoritmlər: AES-GCM/CTR/CBC (ödənişlərdə de-fakto standart - AES-GCM).

Üstünlüklər: yüksək sürət, kompakt açarlar.

Mənfi cəhətləri: açar və IV/nonce haqqında təhlükəsiz razılaşmaq lazımdır.

Asimmetrik kriptoqrafiya

Alqoritmlər: RSA-2048/3072, ECC (P-256/384, Ed25519).

İstifadəsi: açarların mübadiləsi/sarılması, imzalar, PKI, TLS sertifikatları.

Üstünlüklər: əvvəlcədən ümumi sirr tələb etmir.

Mənfi cəhətləri: simmetrik şifrələmədən daha yavaş.

Идея Perfect Forward Secrecy (PFS)

Sessiya açarları ECDHE effemer ilə razılaşdırılır. Server şəxsi açarı bir gün sızsa belə, keçmiş seanslar şifrəsiz qalacaq.

Yolda şifrələmə: TLS 1. 2/1. 3

1. Əl sıxma (TLS handshake): müştəri və server versiyaları/şifrələri razılaşdırır, server sertifikatı təqdim edir (PKI), efemer açarları mübadiləsi (ECDHE) → sessiya simmetrik açarı yaranır.

2. Məlumatlar: Autentifikasiya ilə AEAD rejimlərində (AES-GCM/ChaCha20-Poly1305) ötürülür.

3. Optimallaşdırma: TLS 1. 3 raundları azaldır, resumption dəstəkləyir; 0-RTT ehtiyatla istifadə olunur (yalnız idempotent sorğular).

4. Ödənişlər üçün təcrübə: SSLv3/TLS1 qadağan edirik. 0/1. 1, TLS1 daxil edin. 2/1. 3, OCSP stapling, HSTS, ciddi təhlükəsizlik başlıqları.

💡 Daxili zənglər (PSP → merchant, merchant → prosessing, webhucks) tez-tez mTLS-i əlavə olaraq qoruyur: hər iki tərəf qarşılıqlı sertifikatları göstərir.

Saxlanılan şifrləmə: at rest

Variantlar

Tam şifrələmə cildləri/DD (TDE): tez daxil edilir, mediaya «soyuq» girişdən qoruyur, lakin güzəştli proqram vasitəsilə sızmadan deyil.

Bitli/Sahə-Səviyyə (FLE): Ayrı-ayrı sahələr (PAN, IBAN) şifrələnir. Qranulyar, lakin həyata keçirilməsi və indeksləşdirilməsi daha çətindir.

Format qoruyucu şifrələmə (FPE): «16 rəqəm kimi 16 rəqəm» görünüşü lazım olduqda faydalıdır.

Tokenizasiya: PAN tokenlə əvəz olunur (mənasız sətir); real PAN token vault qorunması altında saxlanılır. Ödəniş/geri qaytarma zamanı → alıcı «xam» kartları emal etmir.

Əsas fikir

Saxlanmada «hansı alqoritm» deyil, açarların harada olduğu və kimin detokenasiya edə biləcəyi daha vacibdir. Buna görə də...

Açar menecmenti: KMS, HSM və zərflər

Açar iyerarxiyası (envelope encryption)

Root/KEK (Key Encryption Key): HSM-də saxlanılır və yerinə yetirilir.

DEK (Data Encryption Key): xüsusi məlumatları/partiyalar/cədvəlləri şifrələyir; özü KEC tərəfindən şifrələnmişdir.

Rotasiya: KEK/DEK-in planlı və plandankənar (insident zamanı) rotasiya qaydaları; açarların versiyası şifrəli mətn meta məlumatlarında göstərilir.

HSM (Hardware Security Module)

Daxili açarlarla əməliyyatları saxlayan və yerinə yetirən sertifikatlı (məsələn, FIPS 140-2/3) hardware modulu.

Şəxsi açarları xaricə vermir, limitləri/istifadə siyasətini, auditi dəstəkləyir.

Açarların yaradılması, DEK sarğıları, server açarlarının 3-DS, EMV açarları, PIN əməliyyatları, mesaj imzaları üçün istifadə olunur.

KMS

Açar siyasətini mərkəzləşdirir, versiyalaşdırma, giriş, jurnallar və API.

HSM ilə birlikdə envelope encryption və avtomatik rotasiya həyata keçirir.

Kart standartları və sənaye xüsusiyyətləri

PCI DSS (və minimallaşdırma məntiqi)

Əsas fikir: CVV saxlamayın, PAN (scope) emal sahəsini minimuma endirin.

Mümkün olan yerdə - Hosted Fields/Iframe PSP → -də PAN girişi vermək.

Log, backup, damps - eyni qaydalar: maskalanma, şifrələmə, retensiya.

EMV, PIN и POS

EMV çip/kontakt-less: kart/terminal səviyyəsində kriptoqramlar, mag zolağının klonlanmasına qarşı qorunma.

PIN blokları və ISO 9564: PIN ped-dən prosessinqə qədər şifrələnir, HSM (pin-tərcümələr, əsas zonalar) ilə işləyir.

DUKPT (Derived Unique Key Per Transaction): POS-da hər bir ödəniş BDK-dan törəmiş unikal açarla şifrələnir → bir mesajın güzəşti digərlərini çəkmir.

PCI P2PE: Pin-pad-dən şifrələmə provayderinə qədər sertifikatlaşdırılmış şifrələmə sxemi.

3-D Secure (2. x)

Kart sahibinin identifikasiyası → daha az froda/çarjbekdir.

Kriptoqrafiya mesajların imzalanması, ACS/DS/3DS Server açarlarının mübadiləsi üçün istifadə olunur; adətən HSM-də xüsusi açarlar.

Standart məlumatların qorunması arxitekturaları

Seçimi A (PSP ilə onlayn satıcı):
  • Brauzer → HTTPS → Hosted Fields PSP (PAN satıcıya çatmır).
  • PSP payment tokenini qaytarır.
  • Merchant DB-də + son 4 rəqəm və BIN (UX və qaydalar üçün) saxlanılır.
  • Qaytarmalar/təkrarlamalar - yalnız tokenlə.
  • Sırlar/açarlar - KMS-də, TLS/3-DS şəxsi açarları - HSM-də.
Variant B (cüzdan/ödəniş):
  • API tətbiqi - TLS/mTLS.
  • Həssas sahələr - FLE/FPE və ya tokenizasiya; vault təcrid olunur.
  • Detokenizasiyaya giriş - yalnız «dörd gözlü» xidmət rolları, əməliyyat - HSM vasitəsilə.
C variantı (offline-POS):
  • Pin-pad → DUKPT/P2PE → prosessinq.
  • Terminalın yükləmə açarları - təhlükəsiz açar injektorları/XSM vasitəsilə.
  • Jurnallaşdırma, anti-tamper müdafiə cihazları.

Rotasiya, audit və insidentlər

Açarların rotasiyası: planlı (X ayda bir dəfə) və hadisə üzrə (kompromasiya). DEK rewrap istifadəçi məlumatlarının şifrəsini açmadan yeni KEK altında.

Dəyişməz jurnallar: detokenizasiya/açarlara kim və nə vaxt giriş əldə etdi; logların imzası.

Runbook güzəştlər: dərhal revoke/rotate, sertifikatların yenidən buraxılması, API açarları bloku, tərəfdaşlara bildiriş, retrospektiv.

Tez-tez səhvlər və onlardan necə qaçmaq olar

1. «Biz DB şifrələyirik, deməli, hər şey qaydasındadır».

Yox. Güzəştli proqram məlumatları açıq oxuyur. Tokenizasiya/FLE və ən kiçik hüquqlar prinsipi lazımdır.

2. CVV saxlama.

Bu mümkün deyil. CVV heç vaxt, hətta şifrələnmiş (PCI DSS) saxlanılır.

3. Məlumatların yanında açarlar.

Bu mümkün deyil. Açarlar - KMS/HSM-də, giriş - rollara görə, minimum imtiyazlar, fərdi hesablar.

4. Rotasiya/versiya yoxdur.

Həmişə açarları versiya edin, şifrəli mətn meta məlumatlarında 'key _ version' saxlayın.

5. TLS yalnız perimetrdə.

CDN/WAF arxasında və data-plan daxilində şifrələyin (xidmət → xidmət, webhucks).

6. Tokenizasiya «növ üçün».

Hər hansı bir xidmət detokenize edə bilərsə, bu qorunma deyil. Dar bir dairəyə məhdudlaşdırın və zəngləri yoxlayın.

7. Nəzərə alınmayan arxalar/analitik boşaltmalar.

Şifrələmə və maskalama backaps, snapshots, BI-vitrinlər, lojs tətbiq edilməlidir.

Giriş çek siyahısı (qısa)

Kanal

TLS 1. 2/1. 3, PFS, mTLS daxili və vebhuk, HSTS, ciddi security-headers üçün.

Saxlama

PAN tokenizasiyası, CVV saxlama qadağası.

Kritik sahələr üçün FLE/FPE; TDE əsas təbəqə kimi.

Açarlar

KMS + HSM, envelope encryption (KEK/DEK), rotasiya/versiyalar, dəyişməz jurnallar.

Memarlıq

Hosted Fields/SDK PSP, PCI zonasının minimuma endirilməsi.

Rolların/şəbəkələrin bölünməsi, zero trust, sirlər - yalnız gizli menecer vasitəsilə.

Əməliyyatlar

Pentest/Red Team perimetri və biznes məntiqi üzrə.

DLP/CTI-drenaj monitorinqi, kadr hazırlığı.

Runbook на compromise: revoke/rotate/notify.

Mini-FAQ

PAN üçün ən yaxşısı nədir: şifrələmə və ya tokenlaşdırma?

Prod - tokenizasiya (minimuma endirir). Vault - HSM/KMS ilə şifrələmə.

Ödəniş domeni üçün EV sertifikatı lazımdırmı?

Məcburi deyil. Düzgün TLS profili, mTLS, HSM açarları və intizam daha vacibdir.

TLS 1-də 0-RTT istifadə edilə bilərmi? 3 ödənişlər üçün?

İdempotent GET üçün - bəli. POST üçün söndürmək və ya məhdudlaşdırmaq daha yaxşıdır.

«Son 4» və BIN necə saxlanılır?

PAN-dan ayrı; düzgün izolyasiya ilə həssas məlumatlar deyil, lakin log/BI-də maskalanmaya riayət edin.

Ödəniş sistemlərində şifrələmə bir tumbler deyil, ekosistemdir: kanalda TLS/PFS, tokenizasiya və/və ya saxlama FLE, KMS + HSM vasitəsilə ciddi açar menecmenti, sənaye standartları (PCI DSS, EMV, 3-DS), rotasiya və audit. Belə çoxqatlı memarlıq kart məlumatlarının sızmasını son dərəcə çətin edir, auditlərin keçirilməsini asanlaşdırır və ən əsası bankların, ödəniş tərəfdaşlarının və istifadəçilərin etimadını qoruyur.

× Oyunlarda axtarış
Axtarışı başlatmaq üçün ən azı 3 simvol daxil edin.