WinUpGo
Бозиҳои демоТОП Казино
ТОП КазиноНармафзори КазиноҶаҳон КазиноТелеграм КазиноБот КазиноВарзиш КазиноМавзӯъҳои гарм
Нармафзори КазиноҶаҳон КазиноТелеграм КазиноБот КазиноВарзиш КазиноМавзӯъҳои гарм
Ҷустуҷӯ
Win WUG WIKI
Не мукофотпулии амонатӣ Бонусҳо
Таъминкунандагони мошини ковокии Таъминкунандагон
Мошинҳои ковокии Ковокии боло
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Ҳисоби шахсӣ Дафтар
Community Chat Australian Pokies
Сӯҳбати зинда Чат
Дастгирии онлайн Дастгирии муштариён
Казино Cryptocurrency Казино Crypto Torrent Gear ҷустуҷӯи ҷӯйборҳои мақсадноки шумост! Torrent фишанги

Рамзгузории маълумот дар системаҳои пардохт чӣ гуна кор мекунад

Системаҳои пардохт бо маълумоти ҳассос - PAN (рақами корт), мӯҳлати истифода, CVV/CVC, 3-DS нишонаҳо, тафсилоти бонк, идентификаторҳои ҳамён кор мекунанд. Ихроҷи онҳо ҷарима, ба хотир овардани тоҷир аз бонкҳо/PSP ва зарари мустақими молиявӣ мебошад. Муҳофизат дар қабатҳои сохта мешавад: рамзгузорӣ дар канал (TLS), рамзгузорӣ ва/ё токенизатсия дар нигаҳдорӣ, идоракунии қатъии калидҳо ва модулҳои боэътимоди сахтафзор (HSM). Дар зер тамоми "лӯлаи" амният бо забони оддӣ оварда шудааст.

Хиштҳои асосӣ

Криптографияи симметрӣ

Алгоритмҳо: AES-GCM/CTR/CBC (ҳангоми пардохт, стандарти де-факто AES-GCM аст).

Тарафдор: суръати баланд, калидҳои паймон.

Омӯз: шумо бояд дар бораи калид ва IV/nonce ба таври бехатар розӣ шавед.

Криптографияи асимметрӣ

Алгоритмҳо: RSA-2048/3072, ECC (P-256/384, Ed25519).

Истифода: мубодилаи калидҳо/печонидани калидҳо, имзоҳо, шаҳодатномаҳои PKI, TLS.

Тарафдор: Сирри муштаракро пешакӣ талаб намекунад.

Омӯз: Сусттар аз рамзгузории симметрӣ.

Сирри пешрафтаи комил Идея (PFS)

Калидҳои сессия аз ҷониби ECDHE-и таъсирбахш гуфтушунид карда мешаванд. Ҳатто агар калиди хусусии сервер баъзан ихроҷ шавад ҳам, ҷаласаҳои гузашта бенатиҷа мемонанд.

Рамзгузории транзитӣ: TLS 1. 2/1. 3

1. Handshake (TLS handshake): муштарӣ ва сервер дар версияҳо/рамзҳо мувофиқат мекунанд, сервер сертификат (PKI), калидҳои эфемериро (ECDHE) пешниҳод мекунад → калиди симметрӣ таваллуд мешавад.

2. Маълумот: дар режими AEAD (AES-GCM/ChaCha20-Poly1305) бо аутентификатсия интиқол дода мешавад.

3. Оптимизатсия: TLS 1. 3 даврро бурида, барқароркуниро дастгирӣ мекунад; 0-RTT бодиққат истифода мешаванд (танҳо дархостҳои номатлуб).

4. Амалияи пардохт: мо SSLv3/TLS1 манъ мекунем. 0/1. 1, фурӯзон кардани TLS1. 2/1. 3, stapling OCSP, HSTS, сарлавҳаҳои қатъии амният.

💡 Зангҳои дохилӣ (PSP → тоҷир, савдогар → коркард, вебҳукҳо) аксар вақт MTLS-ро ба таври иловагӣ муҳофизат мекунанд: ҳарду ҷониб шаҳодатномаҳои тарафайнро нишон медиҳанд.

Рамзгузорӣ "дар нигаҳдорӣ": дар истироҳат

Интихобҳо

Рамзгузории пурраи ҳаҷм/пойгоҳи додаҳо (TDE): зуд ворид шуда, аз дастрасии "хунук" ба ВАО муҳофизат мекунад, аммо на аз ихроҷ тавассути барномаи осебпазир.

Bitwise/сатҳи саҳроӣ (FLE): майдонҳои инфиродӣ (PAN, IBAN) рамзгузорӣ карда мешаванд. Татбиқ ва индексатсия кардани гранул, аммо мушкилтар аст.

Рамзгузории формат-нигоҳдорӣ (FPE): Вақте ки шумо 16 рақамро ҳамчун 16 рақам мехоҳед, муфид аст.

Токенизатсия: PAN бо аломати иваз карда мешавад (сатри бефоида); ин PAN дар таҳхонаи токен зери муҳофизати вазнин нигоҳ дошта мешавад. Ҳангоми пардохт/бозгашт нишонае истифода мешавад → тоҷир кортҳои "хом" -ро коркард намекунад.

Идеяи асосӣ

Дар анбор, он "кадом алгоритм" муҳим нест, балки калидҳо дар куҷоянд ва кӣ метавонад детокенизатсия кунад. Аз ин рӯ...

Идоракунии асосӣ: KMS, HSM ва лифофаҳо

Иерархияи калидӣ (рамзгузории лифофа)

Root/KEK (Калиди рамзгузории калидҳо): синфи муҳофизати баланд, дар HSM ҳифз ва иҷро карда мешавад.

DEK (Калиди рамзгузории маълумот): додаҳо/маҷмӯаҳо/ҷадвалҳои мушаххасро рамзгузорӣ мекунад; худи KEK рамзгузорӣ шудааст.

Ротатсия: қоидаҳо оид ба гардиши нақшавӣ ва ғайринақшавӣ (дар сурати рух додани ҳодиса) гардиши KEK/DEK; нусхаи калидӣ дар метамаълумоти рамзӣ нишон дода шудааст.

HSM (Модули амнияти сахтафзор)

Модули сахтафзор тасдиқ карда шудааст (масалан, FIPS 140-2/3), ки амалиёти калидиро дар дохили худ нигоҳ медорад ва иҷро мекунад.

Калидҳои хусусиро ба берун намедиҳад, маҳдудиятҳо/сиёсати истифода, аудитро дастгирӣ мекунад.

Истифода бурда мешавад: насли калидҳо, парпечи DEK, 3-DS калиди сервер, калидҳои EMV, амалиётҳои PIN, имзои иттилоот.

KMS

Сиёсати калидӣ, версия, дастрасӣ, гузоришҳо ва API-ро мутамарказ мекунад.

Дар якҷоягӣ бо HSM, рамзгузории лифофа ва гардиши автоматиро амалӣ мекунад.

Стандартҳои корт ва хусусиятҳои соҳа

PCI DSS (ва мантиқи ҳадди ақал)

Идеяи асосӣ: CVV-ро нигоҳ надоред, майдони коркарди PAN-ро (миқёс) кам кунед.

То ҳадди имкон - ворид кардани PAN ба Fields Hosted/Iframe PSP → савдогар ба маълумоти хом дастрасӣ надорад.

Сабтҳо, нусхабардорӣ, партовҳо - ҳамон қоидаҳое мебошанд, ки prod: ниқоб, рамзгузорӣ, нигоҳдорӣ.

EMV, ПИН и ПОС

EMV чип/тамос-камтар: криптограммаҳо дар сатҳи корт/терминал, муҳофизат аз клонатсияи рахи mage.

Блокҳои PIN ва ISO 9564: PIN аз PIN то коркард рамзгузорӣ мешавад, бо HSM кор мекунад (интиқоли пинҳонӣ, минтақаҳои асосӣ).

DUKPT (Калиди беназири ҳосилшуда барои як амалиёт): Дар POS, ҳар як пардохт бо калиди беназире, ки аз BDK → гирифта шудааст, рамзгузорӣ карда мешавад, ки як паём ба дигарон халал намерасонад.

PCI P2PE: схемаи рамзгузории "ба-охири" тасдиқшуда аз PIN ба провайдери рамзкушоӣ.

3-D бехатар (2). х)

Аутентификатсияи дорандаи корт → қаллобӣ/пардохтҳои камтар.

Криптография барои имзоҳои паём, мубодилаи калидҳои ACS/DS/3DS Server истифода мешавад; калидҳои хусусӣ одатан дар HSM мебошанд.

Архитектураҳои маъмулии ҳифзи маълумот

Опсияи А (тоҷири онлайн бо PSP):
  • Браузер → HTTPS → Hosted Fields PSP (PAN ба тоҷир намерасад).
  • PSP аломати пардохтро бармегардонад.
  • Пойгоҳи додаҳои савдогар аломати + 4 рақами охирин ва BIN (барои UX ва қоидаҳо) -ро нигоҳ медорад.
  • Бозгаштан/такрор кардан - танҳо нишона.
  • Асрҳо/калидҳо - дар KMS, калидҳои шахсӣ TLS/3-DS - дар HSM.
Опсияи B (ҳамён/пардохт):
  • Ариза ↔ API - TLS/mTLS.
  • Майдонҳои ҳассос - FLE/FPE ё токенизатсия; таҳхона ҷудо карда шудааст.
  • Дастрасӣ ба детокенизатсия - танҳо барои нақшҳои хидматӣ бо "чор чашм", амалиёт - тавассути HSM.
Опсияи C (offline-POS):
  • Панели PIN → DUKPT/P2PE → коркард.
  • Калидҳои пурборкунандаи терминал - тавассути инжекторҳои калидӣ/XSM.
  • Воридшавӣ, муҳофизати зидди тампери дастгоҳҳо.

Ротатсия, аудит ва ҳодисаҳо

Гардиши калидӣ: банақшагирифташуда (ҳар моҳ як маротиба X) ва аз рӯи ҳодиса (созиш). DEK дар зери KEK-и нав бидуни рамзкушоии маълумоти корбар дубора сабт мекунад.

Гузоришҳои тағирнопазир: кӣ ва ҳангоми дастрасӣ ба детокенатсия/калидҳо; имзои гузоришҳо.

Китоби кории Compromise: фавран бекор кардан/гардиш кардан, аз нав чоп кардани шаҳодатномаҳо, блоки калиди API, огоҳиномаи шарик, ретроспективӣ.

Хатогиҳои умумӣ ва чӣ гуна аз онҳо канорагирӣ кардан

1. "Мо пойгоҳи додаҳоро рамзгузорӣ мекунем, аз ин рӯ ҳамааш хуб аст".

Не, ин тавр нест. Барномаи осебдида маълумотро ошкоро мехонад. Мо ба токенизатсия/FLE ва принсипи ҳуқуқҳои камтарин ниёз дорем.

2. Нигоҳдории CVV.

Шумо наметавонед. CVV ҳеҷ гоҳ нигоҳ дошта намешавад, ҳатто рамзгузорӣ карда мешавад (тавассути PCI DSS).

3. Калидҳо дар назди маълумот.

Шумо наметавонед. Калидҳо - дар KMS/HSM, дастрасӣ - аз рӯи нақш, имтиёзҳои ҳадди ақал, ҳисобҳои алоҳида.

4. Не гардиш/версияҳо.

Ҳамеша калидҳои версия, 'key _ version' -ро дар метамаълумоти рамзӣ нигоҳ доред.

5. TLS танҳо дар периметри.

Рамзгузорӣ дар паси CDN/WAF ва дар дохили нақшаи маълумот (servis → servis, webhooks).

6. Токенизатсия "барои назар".

Агар ягон хидмат метавонад детокенизатсия кунад, ин муҳофизат нест. Зангҳои танг ва аудит.

7. Нусхаҳои эҳтиётии ҳисобнашуда/боргузории таҳлилӣ.

Рамзгузорӣ ва ниқоб бояд ба нусхаҳои эҳтиётӣ, лаҳзаҳо, намоиши BI, гузоришҳо дахл дошта бошанд.

Рӯйхати назоратӣ (мухтасар)

Канал

TLS 1. 2/1. 3, PFS, mTLS барои китобҳои дохилӣ ва интернетӣ, HSTS, сарлавҳаҳои қатъии амният.

Захира

Токенизатсияи PAN, манъи нигоҳдории CVV.

FLE/FPE барои соҳаҳои муҳим; TDE ҳамчун қабати асосӣ.

Калидҳо

KMS + HSM, рамзгузории лифофа (KEK/DEK), гардиш/версияҳо, гузоришҳои ивазнашаванда.

Меъморӣ

Майдонҳои мизбон/SDK PSP, кам кардани минтақаи PCI.

Ҷудосозии нақшҳо/шабакаҳо, эътимоди сифрӣ, асрҳо - танҳо тавассути менеҷери махфӣ.

Амалиётҳо

Гурӯҳи Пентест/Сурх оид ба периметр ва мантиқи тиҷорат.

Мониторинги DLP/CTI заҳбурҳо, таълими кормандон.

Созишномаи Runbook na: бозхонд/гардиш/хабардор кардан.

Мини-FAQ

Оё рамзгузорӣ ё токенизатсия барои PAN беҳтар аст?

Дар фурӯш - токенизатсия (миқёсро кам мекунад). Дар анбор - рамзгузорӣ бо HSM/KMS.

Оё ба ман шаҳодатномаи EV барои домени пардохт лозим аст?

Ихтиёрӣ. Муҳимтар он аст, ки профили дурусти TLS, MTLS, калидҳо дар HSM ва интизом.

Оё ман метавонам 0-RTT дар TLS 1 истифода барам? 3 барои пардохт?

Барои GET-ҳои idempotent, бале. Барои POST беҳтар аст, ки хомӯш кунед ё маҳдуд кунед.

Чӣ тавр "охирин 4" ва BIN-ро нигоҳ доштан мумкин аст?

Алоҳида аз PAN; ин маълумоти ҳассос бо ҷудокунии дуруст нест, аммо ниқобро дар гузоришҳо/BI мушоҳида кунед.

Рамзгузорӣ дар системаҳои пардохт як гузариши гузариш нест, балки экосистема: TLS/PFS дар канал, токенизатсия ва/ё FLE дар анбор, идоракунии қатъии калид тавассути KMS + HSM, стандартҳои саноатӣ (PCI DSS, EMV, 3-DS), гардиш ва аудит. Чунин як меъмории бисёрқабата ихроҷи маълумоти кортҳоро ғайриимкон менамояд, гузариши аудитҳоро содда мекунад ва муҳимтар аз ҳама, эътимоди бонкҳо, шарикони пардохт ва корбаронро нигоҳ медорад.

× Ҷустуҷӯ аз рӯи бозиҳо
Барои оғоз кардани ҷустуҷӯ, ҳадди аққал 3 аломат ворид кунед.