WinUpGo
Demo oyunlarTEPE Kumarhane
TEPE KumarhaneYUMUŞAK KumarhaneDünya CasinoTelegram CasinoBot CasinoSpor CasinoSıcak Konular
YUMUŞAK KumarhaneDünya CasinoTelegram CasinoBot CasinoSpor CasinoSıcak Konular
Aramak
WinUpGo Wiki - online casinolar, slotlar ve iGaming endüstrisi ansiklopedisi WUG WIKI
Depozito bonusu yok Bonuslar
Slot makinesi sağlayıcıları Sağlayıcılar
Slot makineleri Üst yuvalar
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Kişisel hesap Ofis
Community Chat Australian Pokies
Canlı sohbet Sohbet
Online destek Destek
Cryptocurrency casino Crypto Casino Torrent Gear, çok amaçlı torrent aramanızdır! Torrent Dişli

Ödeme sistemlerinde veri şifrelemesi nasıl çalışır

Ödeme sistemleri en hassas verilerle çalışır - PAN (kart numarası), son kullanma tarihi, CVV/CVC, 3-DS belirteçleri, banka bilgileri, cüzdan tanımlayıcıları. Sızıntıları para cezaları, tüccarın bankalardan/PSP'den geri çağrılması ve doğrudan finansal kayıptır. Koruma katmanlar halinde oluşturulmuştur: Bir kanalda şifreleme (TLS), depolamada şifreleme ve/veya tokenizasyon, sıkı anahtar yönetimi ve donanıma güvenilen modüller (HSM). Aşağıda tüm güvenlik "boru hattı" basit bir dilde.

Temel tuğlalar

Simetrik kriptografi

Algoritmalar: AES-GCM/CTR/CBC (ödemelerde fiili standart AES-GCM'dir).

Artılar: yüksek hız, kompakt tuşlar.

Eksileri: Bir anahtar ve IV/nonce üzerinde güvenli bir şekilde anlaşmanız gerekir.

Asimetrik kriptografi

Algoritmalar: RSA-2048/3072, ECC (P-256/384, Ed25519).

Kullanım: anahtar değişimi/sarma, imzalar, PKI, TLS sertifikaları.

Artıları: Önceden paylaşılan bir sır gerektirmez.

Eksileri: Simetrik şifrelemeden daha yavaş.

Идея Mükemmel İleri Gizlilik (PFS)

Oturum anahtarları effemeric ECDHE tarafından müzakere edilir. Sunucunun özel anahtarı bir süre sızsa bile, geçmiş oturumlar çözülmeden kalacaktır.

Transit şifreleme: TLS 1. 2/1. 3

1. El sıkışma (TLS handshake): istemci ve sunucu sürümler/şifreler üzerinde anlaşır, sunucu bir sertifika (PKI) sunar, geçici anahtarlar (ECDHE) değiştirir - bir oturum simetrik anahtarı doğar.

2. Veri: AEAD modlarında (AES-GCM/ChaCha20-Poly1305) kimlik doğrulama ile iletilir.

3. Optimizasyonlar: TLS 1. 3 kesim mermi, devam destekler; 0-RTT dikkatle kullanılır (yalnızca idempotent sorgular).

4. Ödemeler için uygulama: SSLv3/TLS1 yasaklıyoruz. 0/1. 1, TLS1 açın. 2/1. 3, OCSP zımbalama, HSTS, sıkı güvenlik başlıkları.

💡 Dahili çağrılar (PSP - tüccar, satıcı - işleme, webhooks) genellikle ek olarak mTLS'yi korur: her iki taraf da karşılıklı sertifikalar gösterir.

"Depoda" şifreleme: dinlenirken

Seçenekler

Tam hacimli/veritabanı şifreleme (TDE): Hızlı bir şekilde girilir, medyaya "soğuk" erişime karşı korunur, ancak tehlikeye atılmış bir uygulama yoluyla sızıntıya karşı korunmaz.

Bitsel/alan düzeyi (FLE): bireysel alanlar (PAN, IBAN) şifrelenir. Granüler, ancak uygulanması ve endekslenmesi daha zor.

Biçim korumalı şifreleme (FPE): 16 basamak olarak 16 basamak istediğinizde kullanışlıdır.

Tokenization: PAN bir belirteç ile değiştirilir (anlamsız dize); Bu PAN, token kasasında ağır koruma altında saklanır. Ödeme yaparken/iade ederken, bir belirteç kullanılır - satıcı "ham" kartları işlemez.

Anahtar fikir

Depolamada,'hangi algoritmanın'daha önemli olduğu değil, anahtarların nerede olduğu ve kimin detokenize olabileceği önemlidir. Bu nedenle...

Anahtar yönetimi: KMS, HSM ve zarflar

Anahtar hiyerarşisi (zarf şifreleme)

Root/KEK (Anahtar Şifreleme Anahtarı): HSM'de saklanan ve yürütülen yüksek koruma sınıfı.

DEK (Veri Şifreleme Anahtarı): Belirli verileri/yığınları/tabloları şifreler; KEK tarafından şifrelenmiş kendisi.

Rotasyon: KEK/DEK'in zamanlanmış ve programlanmamış (bir olay durumunda) rotasyonu için düzenlemeler; Anahtar sürüm, şifreli metin meta verilerinde belirtilir.

HSM (Donanım Güvenlik Modülü)

Kendi içinde önemli işlemleri depolayan ve gerçekleştiren sertifikalı bir donanım modülü (örneğin, FIPS 140-2/3).

Dışarıya özel anahtar vermez, sınırları/kullanım politikasını, denetimi destekler.

Şunun için kullanılır: anahtar üretimi, DEK sarıcı, sunucu anahtarı 3-DS, EMV anahtarları, PIN işlemleri, mesaj imzalama.

KMS

Temel ilke, sürüm oluşturma, erişimler, günlükler ve API'leri merkezileştirir.

HSM ile birlikte, zarf şifreleme ve otomatik rotasyon uygular.

Kart standartları ve endüstri özellikleri

PCI DSS (ve minimizasyon mantığı)

Ana fikir: CVV saklamayın, PAN işleme alanını (kapsam) en aza indirin.

Mümkünse - Barındırılan Alanlara/Iframe PSP'ye PAN girdisi verin - satıcının ham verilere erişimi yoktur.

Günlükler, yedeklemeler, çöplükler - prod ile aynı kurallar: maskeleme, şifreleme, saklama.

EMV, PIN и POS

EMV çip/temassız: Kart/terminal seviyesinde kriptogramlar, mage şerit klonlamasına karşı koruma.

PIN blokları ve ISO 9564: PIN, pin pedinden işleme kadar şifrelenir, HSM ile çalışır (pin transferleri, anahtar bölgeleri).

DUKPT (İşlem Başına Türetilmiş Benzersiz Anahtar): POS'ta, her ödeme BDK'dan türetilmiş benzersiz bir anahtarla şifrelenir - bir mesajdan ödün vermek başkalarını sürüklemez.

PCI P2PE: pin pedinden şifre çözme sağlayıcısına kadar sertifikalı "uçtan uca" şifreleme şeması.

3 Boyutlu Güvenli (2. x)

Kart sahibi kimlik doğrulaması - daha az dolandırıcılık/ters ibraz.

Kriptografi, mesaj imzaları ACS/DS/3DS Server anahtar değişimi için kullanılır; Özel anahtarlar genellikle HSM'dedir.

Tipik Veri Koruma Mimarileri

Seçenek A (PSP ile çevrimiçi satıcı):
  • Tarayıcı - HTTPS - Barındırılan Alanlar PSP (PAN satıcıya ulaşmaz).
  • PSP ödeme belirtecini iade eder.
  • Satıcı veritabanı token + son 4 hane ve BIN (UX ve kurallar için) depolar.
  • Döner/tekrarlar - yalnızca belirteç.
  • Sırlar/anahtarlar - KMS'de, özel anahtarlar TLS/3-DS - HSM'de.
Seçenek B (cüzdan/ödeme):
  • Uygulama ↔ API - TLS/mTLS.
  • Hassas alanlar - FLE/FPE veya tokenization; Kasa izole edilmiştir.
  • Detokenizasyona erişim - sadece "dört gözlü" operasyonlarla hizmet rolleri için - HSM aracılığıyla.
Seçenek C (çevrimdışı-POS):
  • Pin pedi - DUKPT/P2PE - işleme.
  • Terminal önyükleme anahtarları - güvenli anahtar enjektörleri/XSM aracılığıyla.
  • Günlüğe kaydetme, cihazların kurcalama önleyici koruması.

Rotasyon, denetim ve olaylar

Anahtar rotasyon: Planlanmış (X ayda bir) ve olaya göre (uzlaşma). DEK, kullanıcı verilerinin şifresini çözmeden yeni KEK altında yeniden paketleme yapar.

Değişmez günlükler: detokenasyona/anahtarlara kim ve ne zaman erişildi; kütüklerin imzası.

Uzlaşma runbook: anında iptal/döndürme, sertifikaların yeniden yayınlanması, API anahtar bloğu, ortak bildirimi, geriye dönük.

Yaygın hatalar ve bunlardan nasıl kaçınılacağı

1. "Veritabanını şifreliyoruz, bu yüzden her şey yolunda".

Hayır. Tehlike altındaki uygulama verileri açıkça okur. Tokenization/FLE ve en az hak ilkesine ihtiyacımız var.

2. CVV depolama.

Bunu yapamazsın. CVV asla depolanmaz, hatta şifrelenmez (PCI DSS aracılığıyla).

3. Anahtarlar verinin yanında.

Bunu yapamazsın. Anahtarlar - KMS/HSM'de, erişim - role göre, minimum ayrıcalıklar, ayrı hesaplar.

4. Döndürme/sürüm yok.

Her zaman sürüm tuşları, şifreli metin meta verilerinde 'key _ version' saklayın.

5. TLS sadece çevrede.

CDN/WAF'nin arkasında ve veri planının içinde şifreleyin (servis, servis, webhooks).

6. Tokenization "görüş için".

Herhangi bir hizmet detokenize olabilirse, bu koruma değildir. Dar ve denetim çağrıları.

7. Hesaplanmamış yedeklemeler/analitik yüklemeler.

Şifreleme ve maskeleme yedeklere, anlık görüntülere, BI vitrinlerine, günlüklere uygulanmalıdır.

Uygulama kontrol listesi (kısa)

Kanal

TLS 1. 2/1. 3, PFS, dahili ve webhook'lar için mTLS, HSTS, sıkı güvenlik başlıkları.

Depolama

PAN tokenization, CVV depolamanın yasaklanması.

Kritik alanlar için FLE/FPE; Temel katman olarak TDE.

Tuşlar

KMS + HSM, zarf şifreleme (KEK/DEK), rotasyon/sürümler, değiştirilemez günlükler.

Mimari

Barındırılan Alanlar/SDK PSP, PCI bölgesi küçültme.

Rollerin/ağların ayrılması, sıfır güven, sırlar - sadece gizli bir yönetici aracılığıyla.

Operasyonlar

Çevre ve iş mantığı üzerine Pentest/Red Team.

Drenajların DLP/CTI izlenmesi, personel eğitimi.

Runbook на uzlaşma: iptal et/döndür/bildir.

Mini-SSS

Şifreleme veya tokenizasyon PAN için en iyisi midir?

Satışlarda - tokenization (kapsamı en aza indirir). Kasada - HSM/KMS ile şifreleme.

Ödeme etki alanı için EV sertifikasına ihtiyacım var mı?

İsteğe bağlı. Daha da önemlisi, doğru TLS profili, mTLS, HSM'deki anahtarlar ve disiplindir.

0-RTT TLS 1'de kullanabilir miyim? Ödemeler için 3?

Idempotent GET'ler için, evet. POST için, kapatmak veya sınırlamak daha iyidir.

"Son 4've BIN nasıl saklanır?

PAN'dan ayrı; Bu, doğru izolasyona sahip hassas veriler değildir, ancak günlüklerde/BI'da maskelemeyi gözlemleyin.

Ödeme sistemlerinde şifreleme tek bir geçiş anahtarı değil, bir ekosistemdir: Bir kanalda TLS/PFS, depolamada tokenizasyon ve/veya FLE, KMS + HSM aracılığıyla sıkı anahtar yönetimi, endüstri standartları (PCI DSS, EMV, 3-DS), rotasyon ve denetim. Böyle çok katmanlı bir mimari, kart verilerinin sızmasını son derece olası kılmaz, denetimlerin geçişini basitleştirir ve en önemlisi bankaların, ödeme ortaklarının ve kullanıcıların güvenini korur.

× Oyuna göre ara
Aramaya başlamak için en az 3 karakter girin.