WinUpGo
Демо оюндарТОП Казино
ТОП КазиноКазино ПрограммасыДүйнө КазиноТелеграм КазиноБот КазиноСпорт КазиноЫсык темалар
Казино ПрограммасыДүйнө КазиноТелеграм КазиноБот КазиноСпорт КазиноЫсык темалар
Издөө
WinUpGo Wiki - онлайн казино энциклопедия, Slots жана iGaming өнөр WUG WIKI
Депозитсиз бонустар Бонустар
Оюн автоматтарынын провайдерлери Провайдерлер
Оюн автоматтары Top Slots
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Жеке кабинет Кабинет
Community Chat Australian Pokies
Онлайн чат Чат
Онлайн колдоо Колдоо
Cryptocurrency Casino Крипто казино Torrent Gear - Сиздин жалпы торрент издөө! Torrent Gear

Төлөм системаларында маалыматтарды шифрлөө кандай иштейт

Төлөм системалары эң сезимтал маалыматтар - PAN (карта номери), жарактуу мөөнөтү, CVV/CVC, 3-DS токендер, банктык реквизиттер, капчык идентификаторлору менен иштейт. Алардын сыртка чыгышы - айып пулдар, банктардан/PSPден соодагерди чакыртып алуу жана түздөн-түз финансылык жоготуу. Коргоо көп катмарлуу курулат: каналдагы шифрлөө (TLS), сактоодогу шифрлөө жана/же токенизация, ачкычтарды катуу башкаруу жана аппараттык ишенимдүү модулдар (HSM). Төмөндө - бүтүндөй коопсуздук "конвейери" жөнөкөй тил менен.

Негизги кирпичтер

Симметриялуу криптография

Алгоритмдер: AES-GCM/CTR/CBC (де-факто стандарттагы төлөмдө - AES-GCM).

Артыкчылыктары: жогорку ылдамдык, компакт ачкычтар.

Кемчиликтери: ачкыч жана IV/nonce жөнүндө коопсуз макулдашуу керек.

Асимметриялуу криптография

Алгоритмдер: RSA-2048/3072, ECC (P-256/384, Ed25519).

Колдонуу: алмашуу/ачкычтарды ороп, кол тамгалар, PKI, TLS-күбөлүк.

Артыкчылыктары: алдын ала жалпы сырды талап кылбайт.

Кемчиликтери: симметриялуу коддоо караганда жай.

Идея Perfect Forward Secrecy (PFS)

Сессиялык ачкычтар effemer ECDHE менен макулдашылган. Жеке сервердин ачкычы качандыр бир убакта чыгып кетсе да, өткөн сессиялар бүтпөй калат.

"Жолдо" шифрлөө: TLS 1. 2/1. 3

1. Кол алышуу (TLS handshake): кардар жана сервер версияларын/шифрлерин макул, сервер сертификатын (PKI) көрсөтөт, эфемердик ачкычтарды (ECDHE) алмашуу → сессиялык симметриялуу ачкыч төрөлөт.

2. Маалыматтар: аутентификация менен AEAD режимдеринде (AES-GCM/ChaCha20-Poly1305) берилет.

3. оптималдаштыруу: TLS 1. 3 тегерек кыскартат, resumption колдойт; 0-RTT этияттык менен колдонушат (жөн гана демпотенттик суроолор).

4. Төлөм үчүн практика: SSLv3/TLS1 тыюу салынат. 0/1. 1, TLS1 кирет. 2/1. 3, OCSP stapling, HSTS, катуу коопсуздук аталыштары.

💡 Ички чалуулар (PSP → соодагер, соодагер → процессинг, вебхактар) көп учурда mTLS кошумча коргойт: эки тарап өз ара күбөлүктөрдү көрсөтөт.

Сактоодо шифрлөө: at rest

Варианттар

Толук шифрлөө томдору/DD (TDE): тез киргизилген, ташуучуга "муздак" кирүүдөн коргойт, бирок бузулган тиркеме аркылуу агып кетпейт.

Бит/деңгээл талаасы (FLE): өзүнчө талаалар шифрленген (PAN, IBAN). Гранулярдык, бирок ишке ашыруу жана индекстөө кыйын.

Формат сактоочу шифрлөө (FPE): "16 сандар 16 сандар сыяктуу" көрүнүшү керек болгондо пайдалуу.

Токенизация: PAN токен менен алмаштырылат (маанисиз сап); бул PAN token vault күчөтүлгөн коргоо астында сакталат. Төлөөдө/кайтарууда → соодагер "чийки" карталарды иштетпейт.

Негизги идея

Сактоодо "кандай алгоритм" эмес, ачкычтар кайда жатат жана ким детокенациялай алат. Ошондуктан...

Ачкычтарды башкаруу: KMS, HSM жана конверттер

Ачкыч иерархиясы (envelope encryption)

Root/KEK (Key Encryption Key): жогорку класстагы коргоо, сакталган жана HSM аткарылат.

DEK (Data Encryption Key): конкреттүү маалыматтарды/партияларды/таблицаларды шифрлейт; өзү КЕК менен шифрленген.

Ротация: КЕК/ДЕКтин пландуу жана пландан тышкаркы (окуя болгон учурда) ротациясынын регламенттери; Ачкычтардын версиясы шифрдик тексттин мета маалыматтарында көрсөтүлөт.

HSM (Hardware Security Module)

Тастыкталган аппараттык модулу (мисалы, FIPS 140-2/3), ал өз ичинде ачкычтар менен операцияларды сактайт жана аткарат.

Жеке ачкычтарды сыртка бербейт, лимиттерди/колдонуу саясатын, аудитти колдойт.

Бул үчүн колдонулат: ачкычтарды түзүү, DEK таңгактоо, сервер ачкычтарын 3-DS, EMV ачкычтары, PIN операциялары, билдирүүлөрдүн кол тамгалары.

KMS

ачкычтар саясатын борборлоштуруп, чыгаруу, жетүү, журналдар жана API.

HSM менен бирге envelope encryption жана автоматтык айланууну ишке ашырат.

Карта стандарттары жана тармактык өзгөчөлүктөрү

PCI DSS (жана минималдаштыруу логикасы)

Негизги идея: CVV сактоо эмес, PAN дарылоо аймагын азайтуу (scope).

Мүмкүн болгон жерде - Hosted Fields/Iframe PSP → боюнча PAN киришин берүү.

Логи, бекаптар, дампалар - прод сыяктуу эле эрежелер: маскировка, шифрлөө, ретенция.

EMV, PIN и POS

EMV чип/контакт-less: карта/терминал деъгээлинде kriptograms, клон MAG тилкесин коргоо.

PIN блоктору жана ISO 9564: PIN PIN-Пэдден процессингге чейин шифрленген, HSM (PIN которуулар, негизги зоналар) менен иштейт.

DUKPT (Derived Unique Key Per Transaction): POS боюнча ар бир төлөм BDK келип чыккан уникалдуу ачкычы менен шифрленген → бир билдирүүнүн компромисс башкаларды тартпайт.

PCI P2PE: PIN-ПЭДден шифрлөө провайдерине чейин тастыкталган "толук" шифрлөө схемасы.

3-D Secure (2. x)

Карта ээсинин аутентификациясы → азыраак фрод/чарджбек.

Криптография билдирүүлөргө кол коюу, ACS/DS/3DS Server ачкычтарын алмашуу үчүн колдонулат; жеке ачкычтар, адатта, HSM.

Типтүү маалыматтарды коргоо архитектурасы

Вариант А (PSP менен онлайн соода):
  • Browser → HTTPS → Hosted Fields PSP (PAN соодагерге жетпейт).
  • PSP төлөм токенди кайтарып берет.
  • DB соода-жылы токен + акыркы 4 сандары жана BIN (UX жана эрежелер үчүн) сакталат.
  • Кайтаруулар/кайталоолор - токен боюнча гана.
  • Secrets/ачкычтар - KMS, жеке ачкычтар TLS/3-DS - HSM.
B варианты (капчык/төлөм):
  • API тиркемеси - TLS/mTLS.
  • Сезгич талаалар - FLE/FPE же токенизация; vault обочолонгон.
  • Детокенизацияга жетүү - "төрт көздүү" сервистик ролдор боюнча гана, операциялар - HSM аркылуу.
C варианты (оффлайн-POS):
  • Pin-pad → DUKPT/P2PE → иштетүү.
  • Терминалдын жүктөө ачкычтары - корголгон негизги инжекторлор/ХСМ аркылуу.
  • журнал, анти-тампер коргоо түзмөктөр.

Ротация, аудит жана инциденттер

Ачкычтарды айлантуу: пландуу (X айда бир жолу) жана окуя боюнча (компромисс). колдонуучунун маалыматтарды чечмелөө жок жаңы KEK астында DEK rewrap.

Өзгөрүлбөгөн журналдар: ким жана качан детокенизацияга/ачкычтарга кирүү мүмкүнчүлүгүнө ээ болгон; логдордун кол тамгасы.

Runbook компромисс: токтоосуз revoke/rotate, күбөлүктөрдү кайра чыгаруу, API ачкычтар блогу, өнөктөш кабарлоо, retrospective.

Тез-тез каталар жана аларды алдын алуу үчүн кантип

1. "Биз БДны шифрлейбиз, анда баары жайында".

Жок. Бузулган колдонмо маалыматтарды ачык окуйт. Токендештирүү/FLE жана минималдуу укуктар керек.

2. CVV сактоо.

Мүмкүн эмес. CVV эч качан сакталбайт, ал тургай шифрленген (PCI DSS боюнча).

3. маалыматтардын жанында ачкычтар.

Мүмкүн эмес. Ачкычтар - KMS/HSM, кирүү - ролдору боюнча, минималдуу артыкчылыктар, жеке эсептери.

4. Ротация/версиялар жок.

Дайыма ачкычтарды которуп, 'key _ version' шифрдик тексттин метадеректеринде сактаңыз.

5. TLS периметри боюнча гана.

CDN/WAF үчүн жана дата-пландын ичинде шифрлөө (сервис → сервис, вебхактар).

6. Токенизация "для вида".

ар кандай кызмат detokenize мүмкүн болсо - бул коргоо эмес. Тар чөйрөгө чектөө жана чалууларды текшерүү.

7. Эсепке алынбаган бекаптар/аналитикалык жүктөр.

Шифрлөө жана маскировкалоо backaps, snapshots, BI-витриналар, логилерге жайылтылышы керек.

Киргизүү чек-тизмеси (кыскача)

Канал

TLS 1. 2/1. 3, PFS, mTLS ички жана Webhook үчүн, HSTS, катуу security-headers.

Сактоо

PAN токенизациялоо, CVV сактоого тыюу салуу.

критикалык талаалар үчүн FLE/FPE; негизги катмар катары TDE.

Ачкычтар

KMS + HSM, envelope encryption (KEK/DEK), айлануу/версиялары, өзгөрүлбөс журналдар.

Архитектура

Hosted Fields/SDK PSP, PCI зонасын азайтуу.

Ролдорду/тармактарды бөлүштүрүү, zero trust, сырлар - жашыруун менеджер аркылуу гана.

Операциялар

Pentest/Red командасы периметри жана бизнес-логика боюнча.

DLP/CTI-мониторинг агып, персоналды окутуу.

Runbook на compromise: revoke/rotate/notify.

Mini-FAQ

PAN үчүн эмне жакшы: коддоо же tokenization?

Прода - токенизация (scope азайтат). Vault - HSM/KMS менен шифрлөө.

Төлөм домени үчүн EV сертификаты керекпи?

Милдеттүү эмес. Маанилүү туура TLS кароо, mTLS, HSM жана тартип ачкычтар.

TLS 1 0-RTT колдонсо болобу. 3 төлөмдөр үчүн?

Демпотенттик GET үчүн - ооба. POST үчүн өчүрүү же чектөө жакшы.

Кантип "акыркы 4" жана BIN сактоо керек?

PAN өзүнчө; бул туура обочолонуу менен сезимтал маалыматтар эмес, бирок/BI блогдорунда жашыруу.

Төлөм системаларында шифрлөө - бул бир эле тумблер эмес, экосистема: каналдагы TLS/PFS, токенизация жана/же сактоодогу FLE, KMS + HSM аркылуу ачкычтарды катуу башкаруу, тармактык стандарттар (PCI DSS, EMV, 3-DS), ротация жана аудит. Мындай көп катмарлуу архитектура карта маалыматтарынын сыртка чыгып кетишин өтө күмөн кылат, аудиттердин өтүшүн жеңилдетет жана эң негизгиси банктардын, төлөм өнөктөштөрүнүн жана колдонуучулардын ишенимин сактайт.

× Оюндарды издөө
Издөөнү баштоо үчүн жок дегенде 3 белгини киргизиңиз.