WinUpGo
Დემო თამაშებიᲢოპ კაზინო
Ტოპ კაზინოᲙაზინო პროგრამებიᲛსოფლიო კაზინოTelegram კაზინოᲑოტი კაზინოᲡპორტი კაზინოᲪხელი თემები
Კაზინო პროგრამებიᲛსოფლიო კაზინოTelegram კაზინოᲑოტი კაზინოᲡპორტი კაზინოᲪხელი თემები
Ძებნა
WinUpGo Wiki - ონლაინ კაზინოს, სლოტისა და iGaming ინდუსტრიის ენციკლოპედია WUG WIKI
Არაპროპორციული პრემიები Პრემია
Სათამაშო აპარატების პროვაიდერები Პროვაიდერები
Სათამაშო აპარატები Ტოპ სლოტები
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
Პირადი ანგარიში Ოფისი
Ფორუმი - ონლაინ კაზინო Ფორუმი
Ონლაინ ჩატი Ჩატი
Ონლაინ მხარდაჭერა Მხარდაჭერა
Კრიპტოვალუტის კაზინო Კრიპტო კაზინო Torrent Gear არის თქვენი უნივერსალური ტორენტის ძებნა! Torrent Gear

Როგორ მუშაობს მონაცემთა დაშიფვრა გადახდის სისტემებში

გადახდის სისტემები მოქმედებენ ყველაზე მგრძნობიარე მონაცემებით - PAN (ბარათის ნომერი), მოქმედების ვადა, CVV/CVC, 3-DS ნიშნები, საბანკო დეტალები, საფულეების იდენტიფიკატორები. მათი გაჟონვა - ჯარიმები, ბანკების/PSP და პირდაპირი ფინანსური ზარალის გაუქმება. დაცვა შენდება მრავალ ფენად: არხში დაშიფვრა (TLS), დაშიფვრა ან/და შენახვის ტოქსიკაცია, მკაცრი გასაღების მენეჯმენტი და აპარატურის სანდო მოდულები (HSM). ქვემოთ მოცემულია უსაფრთხოების მთელი „კონვეიერი“ მარტივი ენით.

ძირითადი აგურები

სიმეტრიული კრიპტოგრაფია

ალგორითმები: AES-GCM/CTR/CBC (დე ფაქტო სტანდარტი - AES-GCM).

დადებითი: მაღალი სიჩქარე, კომპაქტური გასაღებები.

უარყოფითი: თქვენ უნდა უსაფრთხოდ შეთანხმდეთ კლავიშზე და IV/nonce.

ასიმეტრიული კრიპტოგრაფია

ალგორითმები: RSA-2048/3072, ECC (P-256/384, Ed25519).

გამოყენება: გასაღებების გაცვლა/შეფუთვა, ხელმოწერები, PKI, TLS სერთიფიკატები.

დადებითი: წინასწარ არ საჭიროებს საერთო საიდუმლოებას.

უარყოფითი მხარეები: უფრო ნელა, ვიდრე სიმეტრიული დაშიფვრა.

Идея Perfect Forward Secrecy (PFS)

სესიის გასაღებები ეთანხმება ეფექტურ ECDHE- ს. მაშინაც კი, თუ სერვერის პირადი გასაღები ერთხელ გაჟონავს, ბოლო სესიები დარჩება დაზუსტებული.

„გზაზე“ დაშიფვრა: TLS 1. 2/1. 3

1. ხელჩართვა (TLS handshake): კლიენტი და სერვერი ეთანხმებიან ვერსიებს/შიფრებს, სერვერს წარუდგენს სერთიფიკატს (PKI), გაცვლის ეფემერულ კლავიშებს (ECDHE) და იბადება სესიის სიმეტრიული კლავიში.

2. მონაცემები: გადაეცემა AEAD რეჟიმში (AES-GCM/ChaCha20-Poly1305) ავთენტიფიკაციით.

3. ოპტიმიზაცია: TLS 1. 3 ამცირებს რაუნდებს, მხარს უჭერს დათმობას; 0-RTT ფრთხილად გამოიყენება (მხოლოდ idempotent მოთხოვნები).

4. გადახდის პრაქტიკა: ჩვენ კრძალავს SSLv3/TLS1. 0/1. 1, ჩართეთ TLS1. 2/1. 3, OCSP stapling, HSTS, მკაცრი უსაფრთხოების სათაურები.

💡 შიდა ზარები (PSP - ციმციმი, ციმციმი, დამუშავება, ვებჰუკი) ხშირად დამატებით იცავს mTLS: ორივე მხარე აჩვენებს ურთიერთდახმარების სერთიფიკატებს.

„შენახვის“ დაშიფვრა: at rest

პარამეტრები

ტომების/BD (TDE) სრული დაშიფვრა: სწრაფად შემოღება, იცავს მედიას „ცივი“ წვდომისგან, მაგრამ არა გაჟონვისგან კომპრომეტირებული პროგრამის საშუალებით.

Battle/way დონე (FLE): ცალკეული ველები დაშიფრულია (PAN, IBAN). მარცვლოვანი, მაგრამ უფრო რთული განხორციელება და ინდექსაცია.

საკვანძო დაშიფვრა (FPE): სასარგებლოა, როდესაც საჭიროა ფორმა „16 ციფრი, როგორც 16 ციფრი“.

ტოკენიზაცია: PAN შეიცვალა ნიშნით (უაზრო ხაზი); ნამდვილი PAN ინახება token vault- ში გაძლიერებული დაცვის ქვეშ. გადახდის/დაბრუნების დროს გამოიყენება ნიშანი, რომელიც არ ამუშავებს „ნედლეულ“ ბარათებს.

მთავარი იდეა

შენახვაზე უფრო მნიშვნელოვანია არა „რომელი ალგორითმი“, არამედ სად დევს გასაღებები და ვის შეუძლია დეტოქსიკაცია. ჱარჲგა...

გასაღების მენეჯმენტი: KMS, HSM და კონვერტები

გასაღების იერარქია (envelope encryption)

Root/KEK (Key Encryption Key): მაღალი დაცვის კლასი, ინახება და შესრულებულია HSM- ში.

DEK (Data Encryption Key): დაშიფვრა კონკრეტული მონაცემები/ნაწილები/ცხრილი; თავად დაშიფრულია KEC- ით.

როტაცია: KEK/DEK როტაციის დაგეგმილი და დაუგეგმავი (ინციდენტის დროს) რეგულაციები; გასაღების ვერსია მითითებულია მეტამონაცემების შიფრაციაში.

HSM (Hardware Security Module)

აპარატურის მოდული დამოწმებულია (მაგალითად, FIPS 140-2/3), რომელიც ინახავს და ასრულებს ოპერაციებს თავის შიგნით კლავიშებით.

ის არ აძლევს პირად გასაღებებს გარეთ, მხარს უჭერს შეზღუდვებს/გამოყენების პოლიტიკას, აუდიტს.

იგი გამოიყენება: გასაღებების წარმოქმნისთვის, DEK- ის შეფუთვისთვის, 3-DS სერვერის გასაღებისთვის, EMV გასაღებისთვის, PIN ოპერაციებისთვის, შეტყობინებების ხელმოწერისთვის.

KMS

ცენტრალიზებულია საკვანძო პოლიტიკა, ვერსიები, წვდომა, ჟურნალები და API.

HSM- სთან ერთად, ის ახორციელებს envelope encryption და ავტომატური როტაციას.

ბარათის სტანდარტები და ინდუსტრიის სპეციფიკა

PCI DSS (და შემცირების ლოგიკა)

მთავარი იდეა: არ შეინახოთ CVV, მინიმუმამდე დაიყვანეთ PAN დამუშავების ზონა (სკოპი).

სადაც შესაძლებელია - PAN- ის შეყვანა Hosted Fields/Iframe PSP, marshant- ს არ აქვს ნედლეული მონაცემების წვდომა.

Logs, bacaps, damps - იგივე წესები, როგორც prod: შენიღბვა, დაშიფვრა, რეპროდუქცია.

EMV, PIN и POS

EMV ჩიპი/კონტაქტი: კრიპტოგრამები ბარათის/ტერმინალის დონეზე, დაცვა ჯადოქრობის კლონირებისგან.

PIN ბლოკები და ISO 9564: PIN დაშიფრულია pina ped- დან დამუშავებამდე, მუშაობს HSM- ით (PIN ტრანსფერები, საკვანძო ზონები).

DUKPT (Derived Unique Key Per Transaction): POS- ზე, თითოეული გადახდა დაშიფრულია BDK- ს მიერ წარმოებული უნიკალური გასაღებით, ერთი გზავნილის კომპრომეტირება არ იწვევს სხვებს.

PCI P2PE: სერთიფიცირებული „დასრულებული“ დაშიფვრის სქემა პინ-პედიდან დაწყებული, გაშიფვრის პროვაიდერზე.

3-D Secure (2. x)

ბარათის მფლობელის ავთენტიფიკაცია ნაკლებია, ვიდრე frod/charjbex.

კრიპტოგრაფია გამოიყენება შეტყობინებების ხელმოწერისთვის, ACS/DS/3DS სერვერის კლავიშების გაცვლისთვის; პირადი გასაღებები ჩვეულებრივ HSM- ში.

მონაცემთა დაცვის ტიპიური არქიტექტურა

ვარიანტი A (ონლაინ ციმციმი PSP- ით):
  • HTTPS ბრაუზერი Hosted Fields PSP (PAN არ მიდის მერჩანტთან).
  • PSP უბრუნებს ტოკენის პაკეტს.
  • მერკანტის მონაცემთა ბაზაში ინახება ნიშანი + ბოლო 4 ციფრი და BIN (UX და წესებისთვის).
  • ანაზღაურება/გამეორება - მხოლოდ ნიშნის მიხედვით.
  • საიდუმლოებები/გასაღებები - KMS- ში, პირადი გასაღებები TLS/3-DS - HSM- ში.
ვარიანტი B (საფულე/გადახდა):
  • API პროგრამა - TLS/mTLS.
  • მგრძნობიარე ველები - FLE/FPE ან ტოქსიკაცია; vault არის იზოლირებული.
  • დეტოკენიზაციაზე წვდომა მხოლოდ სერვისული როლებით არის „ოთხფეხა“, ოპერაციები - HSM- ის საშუალებით.
ვარიანტი C (ოფლაინ-POS):
  • Pin-ped - DUKPT/P2PE - დამუშავება.
  • ტერმინალის დატვირთვის გასაღებები - დაცული საკვანძო ინჟექტორების/ChSM მეშვეობით.
  • ჟურნალები, მოწყობილობების დაცვა.

როტაცია, აუდიტი და ინციდენტები

გასაღებების როტაცია: დაგეგმილი (X თვეში ერთხელ) და ღონისძიება (კომპრომისი). DEK rewrap ახალი KEK- ის ქვეშ, მომხმარებლის მონაცემების გაშიფვრის გარეშე.

უცვლელი ჟურნალები: ვინ და როდის მიიღეს წვდომა დეტოკენიზაციაზე/გასაღებებზე; ლოგოების ხელმოწერა.

Runbook კომპრომისები: დაუყოვნებელი გადახედვა/rotate, სერთიფიკატების ხელახლა გამოქვეყნება, API გასაღების ბლოკი, პარტნიორების შეტყობინება, რეტროსპექტივა.

ხშირი შეცდომები და როგორ მოვერიდოთ მათ

1. „ჩვენ დაშიფვრავთ BD- ს, რაც ნიშნავს ყველაფერს“.

არა. კომპრომეტირებული პროგრამა კითხულობს მონაცემებს ღია. საჭიროა ტოკენიზაცია/FLE და მინიმალური უფლებების პრინციპი.

2. შენახვა CVV.

შეუძლებელია. CVV არასოდეს ინახება, თუნდაც დაშიფრული (PCI DSS- ის მიხედვით).

3. კლავიშები მონაცემების მახლობლად.

შეუძლებელია. გასაღებები - KMS/HSM- ში, წვდომა - როლებით, მინიმალური შეღავათებით, ინდივიდუალური ანგარიშებით.

4. არ არის როტაცია/ვერსიები.

ყოველთვის შეცვალეთ გასაღებები, შეინახეთ 'key _ version' მეტამონაცემებში.

5. TLS მხოლოდ პერიმეტრზე.

დაშიფვრა CDN/WAF და მონაცემთა გეგმის შიგნით (მომსახურება - მომსახურება, ვებჰუკი).

6. ტოკენიზაცია „სახეობებისთვის“.

თუ ნებისმიერ სერვისს შეუძლია detokenize - ეს არ არის დაცვა. შეზღუდეთ ვიწრო წრეში და შეამოწმეთ გამოწვევები.

7. ამოუცნობი ზურგჩანთები/ანალიტიკური გადმოტვირთვები.

დაშიფვრა და შენიღბვა უნდა გავრცელდეს ზურგჩანთებზე, სნაიპშოტებზე, BI ფანჯრებზე, ლოგებზე.

განხორციელების ჩამონათვალი (მოკლედ)

არხი

TLS 1. 2/1. 3, PFS, mTLS შიდა და ვებჰუკებისთვის, HSTS, მკაცრი უსაფრთხოების headers.

შენახვა

PAN ტოქსიკაცია, CVV შენახვის აკრძალვა.

FLE/FPE კრიტიკული სფეროებისთვის; TDE, როგორც ძირითადი ფენა.

გასაღებები

KMS + HSM, envelope encryption (KEK/DEK), როტაცია/ვერსიები, უცვლელი ჟურნალები.

არქიტექტურა

Hosted Fields/SDK PSP, PCI ზონის მინიმიზაცია.

როლების/ქსელების გამიჯვნა, zero trust, საიდუმლოებები - მხოლოდ საიდუმლო მენეჯერის მეშვეობით.

ოპერაციები

Pentest/Red Team პერიმეტრისა და ბიზნესის ლოგიკის გარშემო.

DLP/CTI ქლიავის მონიტორინგი, პერსონალის ტრენინგი.

Runbook на compromise: revoke/rotate/notify.

მინი FAQ

რა არის უკეთესი PAN- სთვის: დაშიფვრა თუ ტოქსიკაცია?

გაყიდვაში - ტოკენიზაცია (მინიმუმამდე შემცირება). Vault - დაშიფვრა HSM/KMS- ით.

საჭიროა EV სერტიფიკატი გადახდის დომენისთვის?

არ არის სავალდებულო. უფრო მნიშვნელოვანია სწორი TLS პროფილი, mTLS, გასაღებები HSM და დისციპლინა.

შესაძლებელია თუ არა 0-RTT გამოყენება TLS 1-ში. 3 გადახდებისთვის?

Idempotent GET- ისთვის - დიახ. POST- სთვის უმჯობესია გამორთვა ან შეზღუდვა.

როგორ შევინახოთ „ბოლო 4“ და BIN?

ცალკე PAN- დან; ეს არ არის მგრძნობიარე მონაცემები სწორი იზოლაციით, მაგრამ დაიცავით შენიღბვა ლოგებში/BI.

გადახდის სისტემებში დაშიფვრა არ არის ერთი ნისლი, არამედ ეკოსისტემა: TLS/PFS არხზე, შენახვის ტოქსიკაცია და/ან FLE, KMS + HSM- ის მეშვეობით კლავიშების მკაცრი მენეჯმენტი, ინდუსტრიის სტანდარტები (PCI DSS, EMV, 3-DS S S S), როტრაუნდ. ასეთი მრავალმხრივი არქიტექტურა ბარათის მონაცემების გაჟონვას უკიდურესად ნაკლებად სავარაუდო ხდის, ამარტივებს აუდიტის გავლას და, რაც მთავარია, ინარჩუნებს ბანკების, გადახდის პარტნიორების და მომხმარებლების ნდობას.

× Თამაშების ძებნა
Ძებნის დასაწყებად შეიყვანეთ მინიმუმ 3 სიმბოლო.