WinUpGo
Demo o‘yinlarTOP Kazino
TOP KazinoKazino DasturiDunyo KazinoTelegram KazinoBot KazinoSport KazinoIssiq Mavzular
Kazino DasturiDunyo KazinoTelegram KazinoBot KazinoSport KazinoIssiq Mavzular
Qidiruv
WinUpGo Wiki - onlayn kazino, slot va iGaming industriyasi ensiklopediyasi WUG WIKI
Depozitsiz bonuslar Bonuslar
O’yin avtomatlari provayderlari Provayderlar
O’yin avtomatlari Top slotlar
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Shaxsiy kabinet Vazirlar Mahkamasi
Community Chat Australian Pokies
Onlayn chat Chat
Onlayn qoʻllab-quvvatlash Qoʻllab-quvvatlash
Kriptovalyuta kazinosi Kripto-kazino Torrent Gear - sizning universal torrent qidiruvingiz! Torrent Gear

To’lov tizimlarida ma’lumotlarni shifrlash qanday ishlaydi

Toʻlov tizimlari eng sezgir maʼlumotlar - PAN (karta raqami), amal qilish muddati, CVV/CVC, 3-DS tokenlari, bank rekvizitlari, hamyon identifikatorlari bilan ishlaydi. Ularning tarqalishi - jarimalar, banklardan/PSPdan merchantni chaqirib olish va bevosita moliyaviy yoʻqotishdir. Himoya koʻp qatlamli: kanalda shifrlash (TLS), saqlashda shifrlash va/yoki tokenlash, qattiq kalitlar menejmenti va ishonchli apparat modullari (HSM). Pastda - oddiy tilda butun xavfsizlik «konveyeri».

Bazaviy g’ishtlar

Simmetrik kriptografiya

Algoritmlar: AES-GCM/CTR/CBC (to’lovlarda de-fakto standart - AES-GCM).

Afzalliklari: yuqori tezlik, ixcham kalitlar.

Kamchiliklar: IV/nonce kalitini xavfsiz ravishda kelishib olish kerak.

Asimmetrik kriptografiya

Algoritmlar: RSA-2048/3072, ECC (P-256/384, Ed25519).

Foydalanuvchi: kalitlarni almashish/oʻrash, imzolar, PKI, TLS sertifikatlari.

Ijobiy tomonlari: oldindan umumiy sirni talab qilmaydi.

Kamchiliklar: simmetrik shifrlashdan sekinroq.

Идея Perfect Forward Secrecy (PFS)

Sessiya kalitlari ECDHE effemer kalitlari bilan kelishib olinadi. Agar shaxsiy serverning kaliti bir kun kelib sizib chiqsa ham, oldingi sessiyalar oʻchirib boʻlmaydi.

Yoʻlda shifrlash: TLS 1. 2/1. 3

1. Qo’l siqish (TLS handshake): mijoz va server versiya/shifrlarga rozi bo’ladi, server sertifikat (PKI) taqdim etadi, efemer kalitlar almashinadi (ECDHE) → sessiya simmetrik kaliti tug’iladi.

2. Ma’lumotlar: autentifikatsiya qilingan holda AEAD rejimlarida (AES-GCM/ChaCha20-Poly1305) uzatiladi.

3. Optimallashtirish: TLS 1. 3 raundlarni qisqartiradi, resumption-ni qo’llab-quvvatlaydi; 0-RTT ehtiyotkorlik bilan foydalaniladi (faqat idempotent so’rovlari).

4. To’lov amaliyoti: SSLv3/TLS1 taqiqlaymiz. 0/1. 1, TLS1 kiritamiz. 2/1. 3, OCSP stapling, HSTS, qat’iy xavfsizlik sarlavhalari.

💡 Ichki qo’ng’iroqlar (PSP → merchant, merchant → protsessing, vebxuklar) ko’pincha mTLSni qo’shimcha ravishda himoya qiladi: ikkala tomon ham o’zaro sertifikatlarni ko’rsatadi.

Saqlash uchun shifrlash: at rest

Variantlar

Jildlarni toʻliq shifrlash (TDE): tezda kiritiladi, tashuvchiga «sovuq» kirishdan himoya qiladi, ammo buzilgan dastur orqali sizib chiqishdan saqlamaydi.

Bitli/darajali maydon (FLE): Alohida maydonlar (PAN, IBAN) shifrlanadi. Granulyar, lekin amalga oshirish va indeksatsiya qilish qiyinroq.

Formatni saqlovchi shifrlash (FPE): «16 raqam 16 raqam kabi» koʻrinishi kerak boʻlganda foydalidir.

Tokenizatsiya: PAN token (ma’nosiz satr) bilan almashtiriladi; ushbu PAN token vault’da kuchaytirilgan himoya ostida saqlanadi. To’lash/qaytarishda token → merchant «xom» kartalarni qayta ishlamaydi.

Asosiy fikr

Saqlash uchun «qaysi algoritm» emas, balki kalitlar qayerda va kim detokenizatsiya qila oladi. Shuning uchun...

Kalit menejmenti: KMS, HSM va konvertlar

Kalit ierarxiyasi (envelope encryption)

Root/KEK (Key Encryption Key): yuqori darajadagi himoya, HSMda saqlanadi va ijro etiladi.

DEK (Data Encryption Key): aniq ma’lumotlarni/partiyalarni/jadvallarni shifrlaydi; o’zi KEK tomonidan shifrlangan.

Rotatsiya: rejali va rejadan tashqari (hodisada) KEK/DEK rotatsiyasi reglamentlari; kalitlarning versiyasi shifrotext meta-ma’lumotlarida ko’rsatiladi.

HSM (Hardware Security Module)

O’z ichida kalitlar bilan operatsiyalarni saqlaydigan va bajaradigan sertifikatlangan apparat moduli (masalan, FIPS 140-2/3).

Shaxsiy kalitlarni bermaydi, foydalanish chegaralari/siyosatini, auditni qo’llab-quvvatlaydi.

Quyidagilar uchun ishlatiladi: kalitlarni yaratish, DEK oʻrash, server kalitlarini 3-DS, EMV kalitlari, PIN operatsiyalari, xabarlarni imzolash.

KMS

Kalitlar, versiyalash, kirish, jurnallar va API siyosatini markazlashtiradi.

HSM bilan birgalikda envelope encryption va avtomatik rotatsiyani amalga oshiradi.

Kartochka standartlari va tarmoq xususiyatlari

PCI DSS (va minimallashtirish mantig’i)

Asosiy g’oya: CVVni saqlamang, PAN (scope) ni kamaytiring.

Mumkin bo’lganda - Hosted Fields/Iframe PSP → ga PAN’ni kiritish.

Loglar, bekaplar, dampalar - prod bilan bir xil qoidalar: niqoblash, shifrlash, retensiya.

EMV, PIN и POS

EMV chip/kontakt-less: xarita/terminal darajasidagi kriptogrammalar, mag-polosani klonlashdan himoya qilish.

PIN-bloklar va ISO 9564: PIN ped-dan protsessinggacha shifrlanadi, HSM (pin-tarjimalar, asosiy zonalar) bilan ishlaydi.

DUKPT (Derived Unique Key Per Transaction): POSda har bir to’lov BDKdan olingan noyob kalit bilan shifrlanadi → bitta xabarni buzish boshqalarni tortmaydi.

PCI P2PE: pin-peddan shifrlash provayderigacha sertifikatlangan shifrlash sxemasi.

3-D Secure (2. x)

Karta egasining autentifikatsiyasi → froda/charjbekdan kam.

Kriptografiyadan xabarlarni imzolash, ACS/DS/3DS Server kalitlarini almashish uchun foydalaniladi; shaxsiy kalitlar odatda HSMda.

Ma’lumotlarni himoya qilishning namunaviy arxitekturalari

A varianti (PSP bilan onlayn savdo):
  • Brauzer → HTTPS → Hosted Fields PSP (PAN sotuvchiga kirmaydi).
  • PSP payment tokenini qaytaradi.
  • Savdo do’konida token + oxirgi 4 raqam va BIN saqlanadi (UX va qoidalar uchun).
  • Qaytarish/takrorlash - faqat token bo’yicha.
  • Sirlar/kalitlar - KMSda, shaxsiy kalitlar TLS/3-DS - HSMda.
B variant (hamyon/to’lov):
  • API ilovasi - TLS/mTLS.
  • Sezgir maydonlar - FLE/FPE yoki tokenizatsiya; vault izolyatsiya qilingan.
  • Detokenizatsiyaga kirish faqat to’rt ko’zli servis rollari, operatsiyalar esa HSM orqali amalga oshiriladi.
C varianti (oflayn-POS):
  • Pin-ped → DUKPT/P2PE → protsessing.
  • Terminal yuklash kalitlari - himoyalangan asosiy injektorlar/XSM orqali.
  • Qurilmalarni jurnallash, anti-tamper himoya qilish.

Rotatsiya, audit va noxush hodisalar

Kalitlar rotatsiyasi: rejali (X oyda bir marta) va hodisa bo’yicha (murosaga keltirish). DEK rewrap yangi KEK ostida foydalanuvchi maʼlumotlarini ochmasdan.

O’zgarmas jurnallar: detokenizatsiya/kalitlarga kim va qachon kirish huquqiga ega bo’lgan; loglar imzosi.

Runbook murosa: darhol revoke/rotate, sertifikatlarni qayta chiqarish, API kalitlar bloki, sheriklarni xabardor qilish, retrospektiv.

Tez - tez xatolar va ulardan qanday qochish mumkin

1. «Biz DBni shifrlayapmiz, demak hammasi yaxshi».

Yo’q. Buzilgan dastur maʼlumotlarni ochiq koʻrinishda oʻqiydi. Tokenizatsiya/FLE va eng kichik huquqlar prinsipi kerak.

2. CVVni saqlash.

Yo’q. CVV hech qachon saqlanmaydi, hatto shifrlangan (PCI DSS bo’yicha).

3. Maʼlumotlar yonidagi kalitlar.

Yo’q. Kalitlar - KMS/HSM, kirish - rollar bo’yicha, minimal imtiyozlar, alohida hisoblar.

4. Rotatsiya/versiyalar yoʻq.

Har doim kalitlarni versiya qiling,’key _ version’ni shifrlangan meta maʼlumotlar ichida saqlang.

5. TLS faqat perimetrda.

CDN/WAF uchun va data-reja ichida shifrlang (xizmat → xizmat, vebxuklar).

6. «Tur uchun» tokenlash.

Agar har qanday xizmat detokenize qilsa, bu himoya emas. Cheklang va qiyinchiliklarni tekshiring.

7. Hisobga olinmagan yuklar/tahliliy yuklar.

Shifrlash va niqoblash bekaplar, snapshotlar, BI-vitrinalar, loglarga tatbiq etilishi kerak.

Joriy etish chek-varaqasi (qisqacha)

Kanal

TLS 1. 2/1. 3, PFS, mTLS ichki va vebxuklar uchun, HSTS, qatʼiy security-headers.

Saqlash

PANni tokenlashtirish, CVVni saqlashni taqiqlash.

kritik maydonlar uchun FLE/FPE; TDE asosiy qatlam sifatida.

Kalitlar

KMS + HSM, envelope encryption (KEK/DEK), rotatsiya/versiyalar, oʻzgarmas jurnallar.

Arxitektura

Hosted Fields/SDK PSP, PCI zonasini minimallashtirish.

Rollar/tarmoqlarni ajratish, zero trust, sirlar - faqat sirli menejer orqali.

Operatsiyalar

Pentest/Red Team perimetri va biznes mantig’i bo’yicha.

DLP/CTI-drenaj monitoringi, xodimlarni o’qitish.

Runbook на compromise: revoke/rotate/notify.

Mini-FAQ

PAN uchun nima yaxshiroq: shifrlash yoki tokenlash?

Proda - tokenizatsiya (minimallashtiradi). Vault - HSM/KMS bilan shifrlash.

To’lov domeni uchun EV sertifikati kerakmi?

Majburiy emas. Eng muhimi, to’g’ri TLS profili, mTLS, HSM kalitlari va intizom.

TLS 1 da 0-RTT ishlatish mumkinmi? 3 to’lovlar uchun?

Idempotent GET uchun - ha. POST uchun oʻchirish yoki cheklash yaxshiroqdir.

«Oxirgi 4» va «MING» ni qanday saqlash kerak?

PANdan alohida; bu to’g’ri izolyatsiya qilinganda sezgir ma’lumotlar emas, lekin/BI daftarlarida niqobga rioya qiling.

To’lov tizimlarida shifrlash - bu bitta tumbler emas, balki ekotizim: kanaldagi TLS/PFS, tokenizatsiya va/yoki FLE saqlash, KMS + HSM orqali kalitlarni qat’iy boshqarish, tarmoq standartlari (PCI DSS, EMV, 3-DS), rotatsiya va audit. Bunday ko’p qatlamli arxitektura kartochka ma’lumotlarining sizib chiqishini ehtimoldan yiroq qiladi, auditlarning o’tishini soddalashtiradi va eng muhimi, banklarning, to’lov sheriklari va foydalanuvchilarning ishonchini saqlab qoladi.

× Oʻyinlar boʻyicha qidiruv
Qidiruvni boshlash uchun kamida 3 ta belgi kiriting.