WinUpGo
Демо ойындарТОП Казино
ТОП КазиноЖҰМСАҚ КазиноӘлем КазиноTelegram КазиноБот КазиноСпорт КазиноЫстық тақырыптар
ЖҰМСАҚ КазиноӘлем КазиноTelegram КазиноБот КазиноСпорт КазиноЫстық тақырыптар
Іздеу
WinUpGo Wiki - онлайн казино, слоттар және iGaming индустриясының энциклопедиясы WUG WIKI
Депозитсіз бонустар Бонустар
Ойын автоматтарының провайдерлері Провайдерлер
Ойын автоматтары Топ слоттар
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Жеке кабинет Кабинет
Community Chat Australian Pokies
Онлайн чат Сөйлесу
Онлайн қолдау Қолдау
Cryptocurrency казино Крипто казино Torrent Gear - сіздің әмбебап торрент іздеу! Torrent Gear

Төлем жүйелеріндегі деректерді шифрлау қалай жұмыс істейді

Төлем жүйелері ең сезімтал деректермен жұмыс істейді - PAN (карта нөмірі), жарамдылық мерзімі, CVV/CVC, 3-DS белгілер, банк деректемелері, әмиян идентификаторлары. Олардың сыртқа шығуы - айыппұлдар, банктерден/PSP-дан мерчанттарды қайтарып алу және тікелей қаржылық шығын. Қорғау көп қабатты құрылады: арнадағы шифрлау (TLS), сақтаудағы шифрлау және/немесе токенизация, кілттердің қатаң менеджменті және аппараттық сенімді модульдер (HSM). Төменде - қауіпсіздіктің бүкіл «конвейері» қарапайым тілмен.

Негізгі кірпіштер

Симметриялық криптография

Алгоритмдер: AES-GCM/CTR/CBC (де-факто стандартты - AES-GCM).

Артықшылықтары: жоғары жылдамдық, ықшам кілттер.

Кемшіліктері: кілт және IV/nonce туралы қауіпсіз келісу қажет.

Асимметриялық криптография

Алгоритмдер: RSA-2048/3072, ECC (P-256/384, Ed25519).

Пайдалану: кілттерді, қолтаңбаларды, PKI, TLS сертификаттарын ауыстыру/орау.

Артықшылықтары: алдын ала жалпы құпияны талап етпейді.

Кемшіліктері: симметриялық шифрлауға қарағанда баяу.

Идея Perfect Forward Secrecy (PFS)

Сессиялық кілттер ECDHE тиімділігіне келісіледі. Сервердің жеке кілті қашан болса да, өткен сессиялар құпия болып қалады.

Жолдағы шифрлау: TLS 1. 2/1. 3

1. Қол алысу (TLS handshake): клиент пен сервер нұсқаларды/шифрларды келіседі, сервер сертификатты (PKI) көрсетеді, эфемерлік кілттерді алмасады (ECDHE) → сессиялық симметриялық кілт пайда болады.

2. Деректер: аутентификациямен AEAD режимдерінде (AES-GCM/ChaCha20-Poly1305) беріледі.

3. Оңтайландыру: TLS 1. 3 раундтарды қысқартады, resumption қолдайды; 0-RTT абайлап пайдаланады (тек демпотенттік сұраулар).

4. Төлеуге арналған практика: SSLv3/TLS1 тыйым саламыз. 0/1. 1, TLS1 қосамыз. 2/1. 3, OCSP stapling, HSTS, қатаң қауіпсіздік тақырыптары.

💡 Ішкі қоңыраулар (PSP → мерчант, мерчант → процессинг, вебхактар) көбінесе mTLS қосымша қорғайды: екі тарап та өзара сертификаттарды көрсетеді.

Сақтауда шифрлау: at rest

Параметрлер

Томдарды/ДҚ (TDE) толық шифрлау: тез енгізіледі, тасымалдағышқа «салқын» қатынаудан қорғайды, бірақ құпия бағдарлама арқылы ағып кетпейді.

Бит/деңгей өрісі (FLE): жеке өрістер (PAN, IBAN) шифрланады. Гранулярлы, бірақ іске асыру мен индекстеу қиынырақ.

Пішімді сақтайтын шифрлау (FPE): «16 сан ретінде 16 сан» түрі қажет болғанда пайдалы.

Токенизация: PAN токенмен ауыстырылады (мағынасыз жол); осы PAN token vault-да күшейтілген қорғауда сақталады. Төлем/қайтару кезінде → мерчант «шикі» карталарды өңдемейді.

Негізгі идея

Сақтауда «қандай алгоритм» емес, кілттердің қайда жатқаны және кімнің детокенизациялауы маңызды. Сондықтан...

Кілт менеджменті: KMS, HSM және конверттер

Кілттер иерархиясы (envelope encryption)

Root/KEK (Key Encryption Key): жоғары қорғау сыныбы, HSM сақталады және орындалады.

DEK (Data Encryption Key): нақты деректерді/партияларды/кестелерді шифрлайды; өзі КЕК шифрланған.

Ротация: KEK/DEK жоспарлы және жоспардан тыс (оқыс оқиға кезінде) ротациялау регламенттері; кілттердің нұсқасы шифрмәтіннің метадеректерінде көрсетіледі.

HSM (Hardware Security Module)

Кілттермен операцияларды өз ішінде сақтайтын және орындайтын сертификатталған аппараттық модуль (мысалы, FIPS 140-2/3).

Жеке кілттерді сыртқа бермейді, лимиттерді/пайдалану саясатын, аудитті қолдайды.

Мыналар үшін пайдаланылады: кілттерді жасау, DEK орау, серверлік кілттерді 3-DS, EMV кілттері, PIN операциялары, хабарламаларға қол қою.

KMS

Кілттер саясатын, нұсқалауды, қолжетімділікті, журналдар мен API орталықтандырады.

HSM-мен бірге envelope encryption және автоматты ротацияны іске асырады.

Карточкалық стандарттар және салалық ерекшеліктер

PCI DSS (және азайту логикасы)

Басты идея: CVV сақтамаңыз, PAN өңдеу аймағын азайтыңыз (scope).

Мүмкін болған жерде - Hosted Fields/Iframe PSP → -ге PAN енгізуге рұқсат беру.

Логи, бэкап, дампа - өнімдікіндей ережелер: бүркемелеу, шифрлау, ретенция.

EMV, PIN и POS

EMV чип/контакт-less: карта/терминал деңгейіндегі криптограммалар, маг-жолақты клондаудан қорғау.

PIN-блоктар және ISO 9564: PIN пэд-тен процессингке дейін шифрланады, HSM-мен (пин-аудармалар, негізгі аймақтар) жұмыс істейді.

DUKPT (Derived Unique Key Per Transaction): POS-та әрбір төлем BDK-дан алынған бірегей кілтпен шифрланады → бір хабарламаның компромисі басқаларды тартпайды.

PCI P2PE: Пин-пэдтен шифрлау провайдеріне дейін сертификатталған «өтпелі» шифрлау схемасы.

3-D Secure (2. x)

Карта ұстаушысын аутентификациялау → фрод/чарджбектен аз.

Криптография хабарламаларға қол қою, ACS/DS/3DS Server кілттерімен алмасу үшін пайдаланылады; жеке кілттер әдетте HSM-де.

Деректерді қорғаудың үлгілік архитектурасы

А нұсқасы (PSP бар онлайн-мерчант):
  • Браузер → HTTPS → Hosted Fields PSP (PAN сауда-саттыққа кірмейді).
  • PSP payment token қайтарады.
  • Мерчант ДҚ-да токен + соңғы 4 сан және BIN (UX және ережелер үшін) сақталады.
  • Қайтару/қайталау - тек токен бойынша.
  • Құпиялар/кілттер - KMS, жеке кілттер TLS/3-DS - HSM.
В нұсқасы (әмиян/төлем):
  • API қосымшасы - TLS/mTLS.
  • Сезімтал өрістер - FLE/FPE немесе токенизация; vault оқшауланған.
  • Детокенизацияға қол жеткізу тек «төрт көзді» сервистік рөлдер бойынша, операциялар - HSM арқылы.
С нұсқасы (офлайн-POS):
  • Пин-пэд → DUKPT/P2PE → процессинг.
  • Терминалды жүктеу кілттері - қорғалған кілт инжекторлар/XSM арқылы.
  • Құрылғыларды журналға түсіру, anti-tamper қорғау.

Ротация, аудит және инциденттер

Кілттердің ротациясы: жоспарлы (X айда бір рет) және оқиға бойынша (компромат). DEK rewrap жаңа KEK астында пайдаланушы деректерінің мағынасын ашпай.

Өзгермейтін журналдар: детокенизацияға/кілттерге кімнің және қашан қол жеткізгені; логтардың қолтаңбасы.

Runbook компромисс: дереу revoke/rotate, сертификаттарды қайта шығару, API кілттер блогы, серіктестер хабарландыру, ретроспектива.

Жиі қателер және оларды болдырмау

1. «Біз БД шифрлаймыз, демек бәрі жақсы».

Жоқ. Сындырылған бағдарлама деректерді ашық түрде оқиды. Токенизация/FLE және ең аз құқықтар қағидаты қажет.

2. CVV сақтау.

Мүмкін емес. CVV ешқашан сақталмайды, тіпті шифрланған (PCI DSS бойынша).

3. Деректердің жанындағы кілттер.

Мүмкін емес. Кілттер - KMS/HSM, қолжетімділік - рөлдер бойынша, артықшылықтар минимумы, жеке аккаунттар.

4. Ротация/нұсқалар жоқ.

Кілттерді әрқашан нұсқалаңыз, 'key _ version' дегенді шифрмәтін метадеректерінде сақтаңыз.

5. TLS тек периметрде.

CDN/WAF үшін және дата-жоспардың ішінде шифрлаңыз (сервис → сервис, вебхактар).

6. «түрі үшін» белгісі.

Егер кез келген қызмет detokenize мүмкін болса - бұл қорғау емес. Тар шеңберге дейін шектеп, шақыруларды тексеріңіз.

7. Есепке алынбаған бэкаптар/аналитикалық жүктеулер.

Шифрлау және бүркемелеу бэкаптарға, снапшоттарға, BI-витриналарға, логтарға таратылуы тиіс.

Енгізу чек-парағы (қысқаша)

Арна

TLS 1. 2/1. 3, PFS, mTLS ішкі және вебхуктер үшін, HSTS, қатаң security-headers.

Сақтау

PAN токенизациясы, CVV сақтауға тыйым салу.

сыни өрістер үшін FLE/FPE; TDE негізгі қабат ретінде.

Кілттер

KMS + HSM, envelope encryption (KEK/DEK), ротация/нұсқалар, өзгермейтін журналдар.

Сәулет

Hosted Fields/SDK PSP, PCI аймағын барынша азайту.

Рөлдерді/желілерді бөлу, zero trust, құпиялар - құпия менеджер арқылы ғана.

Операциялар

Pentest/Red Team периметрі және бизнес логикасы бойынша.

DLP/CTI-ағызу мониторингі, персоналды оқыту.

Runbook на compromise: revoke/rotate/notify.

Mini-FAQ

PAN үшін не жақсы: шифрлау немесе токенизациялау?

Сынамада - токенизация (scope азайтады). Vault - HSM/KMS шифрлау.

Төлем домені үшін EV сертификаты қажет пе?

Міндетті емес. Ең маңыздысы дұрыс TLS профилі, mTLS, HSM кілттері және тәртіп.

TLS 1 бағдарламасында 0-RTT пайдалануға бола ма? 3 төлемдер үшін?

Демпотенттік GET үшін - иә. POST үшін өшіру немесе шектеу жақсы.

«Соңғы 4» және BIN-ді қалай сақтау керек?

PAN-дан бөлек; бұл дұрыс оқшаулау кезінде сезімтал деректер емес, бірақ логтарда/BI бүркемелеуді сақтаңыз.

Төлем жүйелеріндегі шифрлау - бұл бір тумблер емес, экожүйе: арнадағы TLS/PFS, сақтаудағы токенизация және/немесе FLE, KMS + HSM арқылы қатаң кілт менеджменті, салалық стандарттар (PCI DSS, EMV, 3-DS), ротация және т.б аудит. Мұндай көп қабатты сәулет карточкалық деректердің таралып кетуі мүмкін емес, аудиттің өтуін жеңілдетеді және ең бастысы банктердің, төлем серіктестерінің және пайдаланушылардың сенімін сақтайды.

× Ойын бойынша іздеу
Іздеуді бастау үшін кемінде 3 таңба енгізіңіз.