Pinup.az Azərbaycan qanunlarına uyğun olaraq məlumatımı necə saxlayır və qoruyur?
“Fərdi məlumatlar haqqında” Azərbaycan Respublikasının Qanununa (2010-cu ildə qüvvəyə minib və sonrakı illərdə dəyişikliklər edilib) fərdi və ödəniş məlumatları qanuni əsaslarla qorunur və işlənir: istifadəçi razılığı, müqavilənin icrası, qanuni öhdəliklər (o cümlədən AML/KYC) və qanuni maraqlar, əgər onlar məlumat subyektinin hüquqları ilə ziddiyyət təşkil etmirsə. Bu əsaslar müasir informasiya təhlükəsizliyi idarəetmə standartları ISO/IEC 27001:2022-də təsbit olunmuş hədəf məhdudiyyəti, məlumatların minimuma endirilməsi və məhdud saxlama müddətləri prinsipləri ilə tamamlanır. Ödəniş məlumatları üçün CVV-nin saxlanmasını qadağan edən, PAN tokenizasiyasını və şəbəkə seqmentasiyasını tələb edən PCI DSS v4.0 standartı (PCI Təhlükəsizlik Standartları Şurası, 2022) tətbiq edilir. İstifadəçi üçün praktiki fayda nümayiş etdirilə bilən hüquqi və texniki emal intizamıdır: KYC sənədlərinin nüsxələri AML qanuni əsasında saxlanılır və reklam identifikatorları yalnız açıq razılıq ilə aktivləşdirilir və sorğu əsasında deaktiv edilə bilər. Nümunə: Qeydiyyatdan sonra platforma minimum tələb olunan məlumat toplusunu tələb edir, emal məqsədini müəyyənləşdirir və şəffaflıq prinsipinə uyğun gələn məxfilik siyasətində saxlama müddətlərini dərc edir (ISO/IEC 27001:2022; PCI SSC, 2022).
Ödəniş təhlükəsizliyinin tənzimləyici standartları texniki təhlükəsizlik çərçivəsini gücləndirərək məlumatların pozulması riskini azaldır: PCI DSS v4.0 sertifikatlı auditor (PCI SSC, 2022) tərəfindən illik qiymətləndirmə (ROC/AOC) ilə təsdiq edilmiş uyğunluqla ödəniş mühitinin seqmentasiyasını, girişə nəzarəti və bütün əməliyyatların qeydini tələb edir. ISO/IEC 27001:2022-yə uyğun olaraq sistemli risklərin idarə edilməsi, auditlər və dəyişiklik nəzarəti ilə birlikdə bu, məlumatların saxlanması və girişin yoxlanıla biləcəyi təkrarlanan bir arxitektura yaradır. İstifadəçi tokenləşdirmədən faydalanır: təkrar əməliyyatlar prosessorun işarəsindən istifadə edir və orijinal PAN tətbiq və işçi heyəti üçün əlçatmazdır və potensial insident zamanı məlumatların dəyərini azaldır. Tarixi nümunə, 2013-2014-cü illərdə pərakəndə ödəniş məlumatlarının kütləvi şəkildə pozulmasıdır ki, bu da daha sərt tokenləşdirmə və monitorinq tələblərinə səbəb oldu (PCI SSC, 2022) və PAN-ın saxlanması və ötürülməsi intizamı sənayenin əsas tələbinə çevrildi.
Beynəlxalq məlumatların mühafizəsi çərçivələri ən yaxşı təcrübələr və şəffaflıq üçün meyarlar müəyyən edir: 108 saylı Konvensiya (Avropa Şurası, 1981) transsərhəd emalın koordinasiyasını gücləndirən 108+ Konvensiyasına (2018) və GDPR-ə (Aİ Qaydaları 2016/679, məlumatların 2016/679-cu ildən qüvvəyə minməsi, 2018-ci ildən qüvvədə olan) yenilənmişdir. tələblər və 20 milyon avroya və ya qlobal dövriyyənin 4%-nə qədər cərimələr miqyası (Avropa Komissiyası, 2018). GDPR-nin birbaşa təsiri ekstraterritorial əlaqədən asılı olsa da, onun prinsipləri – dizayn üzrə məxfilik, standart olaraq məxfilik, DPIA (məlumatların qorunması təsirinin qiymətləndirilməsi) – prosesin dizaynı üçün etalon kimi istifadə olunur. Təcrübədə bu, istifadəçilərin girişi, korreksiyası, silinməsi və emalının məhdudlaşdırılması, habelə transsərhəd məlumat ötürülməsi üçün məqsəd və qəbuledici kateqoriyalarının açıqlanması üçün aydın mexanizmlər deməkdir (GDPR 2016/679; Konvensiya 108+, 2018).
Hadisələrin idarə edilməsi qeyri-müəyyənliyi və məlumatların uzun müddət məruz qalma riskini azaldaraq aşkarlama, bildiriş və bərpa mərhələlərini rəsmiləşdirir. ENISA İnsident Bildiriş Təlimatları (2018–2023) və CERT Koordinasiyasının ən yaxşı təcrübələri təsirə məruz qalan istifadəçilər və tənzimləyicilərlə vaxtında əlaqə saxlamağı, kök səbəbləri müəyyən etmək üçün məhkəmə-tibbi analizi və yerləşdirmədən əvvəl yamaqların sınaqdan keçirilməsini tövsiyə edir (ENISA, 2018–2023). Əgər insident ödəniş sisteminə təsir edərsə, qeyd, seqmentləşdirmə və hadisəyə reaksiya üçün PCI DSS tələbləri paralel olaraq tətbiq edilir (PCI SSC, 2022). İstifadəçi konteksti: Əgər etimadnamənin doldurulmasından şübhələnirsinizsə, sessiya dondurulur, SIEM qeydlərində anomaliyalar yoxlanılır, tokenlər ləğv edilir və istifadəçi əlaqəsinə parolun dəyişdirilməsi və MFA-nın aktivləşdirilməsi üçün tövsiyələr daxildir. Nümunə: birdən çox ölkədən kütləvi uğursuz giriş cəhdləri aşkar edilərsə, SOC sessiyanın bloklanması və identifikasiyanın məcburi yoxlanması ilə oyun kitabını işə salır.
İstifadəçi nəzarət kanalları – razılıq banneri, profil parametrləri və kukilər və izləmə bölmələri – Avropa Məlumatların Mühafizəsi Şurası (EDPB, 2019) tərəfindən tövsiyə olunan standart prinsiplər üzrə dizayn və məxfilik üzrə məxfiliyi həyata keçirir. Bu o deməkdir ki, yalnız əməliyyat üçün zəruri olan funksional mexanizmlər defolt olaraq işə salınır, analitik və reklam kukiləri isə açıq razılıq tələb edir və xidmətlərin əsas funksionallığını itirmədən deaktiv edilə bilər. Yüksək riskli proseslərdə şəffaflığı artırmaq üçün (məsələn, KYC sənədlərinin nüsxələrinin saxlanması) DPIA (GDPR, Maddə 35, 2018) tətbiq edilir ki, bu da risklərin sistematik qiymətləndirilməsinə və azaldılması tədbirlərinə imkan verir. İstifadəçinin nəzarəti var: fərdiləşdirilmiş reklamın qadağan edilməsi, analitikadan imtina, identifikatorların saxlanma müddətinə nəzarət və sorğu əsasında iş jurnallarına giriş (EDPB, 2019; GDPR 2016/679).
Giriş, silinmə və emalın məhdudlaşdırılması hüquqlarım hansılardır?
Məlumat subyektinin hüquqlarına giriş (emal edilmiş məlumatın surətinin və onun emal olunduğu məqsədlərin əldə edilməsi), qeyri-dəqiqliklərin aradan qaldırılması, silinmə (bunun üçün hüquqi əsaslar tükəndikdə və ya məlumatlar həddindən artıq olduqda) və emalın məhdudlaşdırılması (hüquqi məqsədlər üçün saxlanılmaqla onun istifadəsinin müvəqqəti bloklanması) daxildir. Bu mexanizmlər şəffaflıq və hesabatlılıq standartları kimi milli qanunvericilikdə və GDPR-nin (2016/679, 2018-ci ildən qüvvədə olan) sahəyə aid təlimatlarında təsbit edilmişdir (Avropa Komissiyası, 2018). Ərizəçinin şəxsiyyətinin yoxlanılması məlumatların üçüncü şəxslərə açıqlanmasının qarşısını almaq üçün məcburi tələbdir; bu cür sorğuların nəticələri audit edilə bilənlik prinsiplərinə (ISO/IEC 27001:2022) uyğun olaraq emal jurnalında qeyd olunur. Praktik effekt: istifadəçi öz KYC profilini tənzimləyə, səhv yoxlamanı aradan qaldıra, əməliyyatların qeyri-qanuni bloklanması riskini azalda, məqsədlər və saxlama müddətləri haqqında hesabat ala bilər. Misal: doğrulama sənədlərində qeyri-dəqiq ünvan aşkar edildikdə, istifadəçi düzəliş üçün sorğu göndərir, təsdiq və yenilənmiş profil alır və dəyişikliyin səbəbi emal jurnalında qeyd olunur (GDPR 2016/679; ISO/IEC 27001:2022).
Pinup.az KYC sənədlərinin surətlərini hansı əsaslarla və nə qədər müddətə saxlayır?
KYC sənədlərinin saxlanmasının səbəbi AML (çirkli pulların yuyulmasına qarşı mübarizə) tələblərinə və ayrıca razılıq olmadan qanuni emal ilə bağlı müqavilə öhdəliklərinə riayət etməkdir. FATF (Maliyyə Fəaliyyəti İş Qrupu, 2012–2023) tövsiyələri müştərinin şəxsiyyətinin müəyyən edilməsini, sanksiyalar siyahılarının yoxlanılmasını və yoxlama sübutlarının saxlanmasını, həmçinin sonrakı auditlər və tənzimləyici sorğular üçün qeydlərin saxlanmasını tələb edir (FATF, 2012–2023). Tipik AML sənədinin saxlanma müddətləri əlaqənin dayandırılmasından sonra ən azı 5 ildir ki, bu da əməliyyatların retrospektiv yoxlanmasını və geri çəkilmənin qanuniliyini təmin edir (FATF, 2012–2023). Praktiki təsir: istifadəçi həssas sənədlərin qanuni məqsədlərdən kənar istifadə edilmədiyini və AML saxlama müddəti bitdikdən sonra silinməli olduğunu bilir. Misal: hesab bağlandıqdan sonra platforma tənzimləyici sorğular üçün KYC arxivini 5 il ərzində saxlayır, sonra qeydləri silir və silinməni emal jurnalında qeyd edir (FATF, 2012–2023).
Məlumatlarım fiziki olaraq harada yerləşə bilər və onların xaricə ötürülməsi qaydaları hansılardır?
Fiziki məlumatların saxlanması girişə nəzarət, şəbəkə seqmentasiyası, ehtiyat enerji təchizatı sistemləri və yanğın söndürmə sistemləri ilə sertifikatlaşdırılmış məlumat mərkəzlərində həyata keçirilir və hüquqi təminatlara və risklərin qiymətləndirilməsinə uyğun olaraq transsərhəd ötürmələrə icazə verilir. Avropa Komissiyası 2021-ci ildə standart müqavilə müddəalarını (SCC) yeniləyib, məlumatların ekvivalent mühafizəsi olan üçüncü ölkələrə qanuni ötürülməsi üçün tədbirləri müəyyən edib (Avropa Komissiyası, 2021). Texniki olaraq, nəqliyyat üçün uçdan-uca şifrələmə (TLS 1.3, RFC 8446, 2018) və istirahətdə şifrələmə (məsələn, AES-256) həyata keçirilir və ehtiyat nüsxələrə giriş DR prosedurları ilə məhdudlaşdırılır və bərpa oluna bilməsi üçün sınaqdan keçirilir (ISO/IEC 27031:2022). Praktiki effekt: başqa yurisdiksiyada ehtiyat nüsxə saytı və ya ödəniş prosessorundan istifadə edərkən məlumatlara giriş və silinmə hüquqları qorunur və mübadilə sənədləşdirilmiş alıcılarla təhlükəsiz kanallar vasitəsilə baş verir. Nümunə: Tranzaksiya TLS 1.3 vasitəsilə ötürülən Aİ prosessoru tərəfindən idarə olunur, PAN tokenləşdirilir və müqavilə ekvivalent təhlükəsizlik tədbirlərini müəyyən edir (RFC 8446, 2018; Avropa Komissiyası, 2021).
Fərdi məlumatlar haqqında Azərbaycan qanunu GDPR və 108+ Konvensiyasından nə ilə fərqlənir?
Əsas fərqlər hüquqların və nəzarət mexanizmlərinin əhatə dairəsinə aiddir: GDPR məlumatların daşınması, ciddi pozuntular barədə bildiriş müddətləri (öhdəliklər olduqda 72 saatdan gec olmayaraq) və 20 milyon avroya qədər və ya qlobal dövriyyənin 4%-nə qədər əhəmiyyətli cərimələr (Avropa Komissiyası, 2018), eyni zamanda milli qaydalar və təcrübə sistemləri yerli nəzarət sistemləri tələblərinə uyğunlaşır. 108+ Konvensiya (Avropa Şurası, 2018) beynəlxalq koordinasiyanı gücləndirir və transsərhəd emal üçün meta-standart rolunu oynayan qanunilik, ədalətlilik və şəffaflıq prinsiplərini təsbit edir. İstifadəçi üçün bu o deməkdir ki, GDPR və 108+-ı rəhbər tutan platforma yüksək riskli proseslər üçün DPIA-ları tətbiq edir, məlumatların mühafizəsi üzrə məsul işçiləri təyin edir və hətta ərazidənkənar öhdəliklər tətbiqdə məhdud olsa belə, ENISA tövsiyələri (2018–2023) əsasında insident bildiriş şablonlarından istifadə edir. Nümunə: Hadisə bildirişinə təsirə məruz qalan məlumatların kateqoriyaları, görülən tədbirlər və istifadəçi üçün praktiki tövsiyələr daxildir (ENISA, 2018–2023; Avropa Komissiyası, 2018).
Məlumatlarım Pinup.az-da fiziki olaraq harada saxlanılır və onları qorumaq üçün hansı texnologiyalardan istifadə olunur?
Əsas müdafiə əsas idarəetmə, şəbəkə seqmentasiyası, hadisələrin monitorinqi və rol əsaslı giriş nəzarəti ilə tamamlanan TLS nəqliyyat şifrələməsi və istirahət zamanı şifrələmə üzərində qurulub. TLS 1.3 (IETF RFC 8446, 2018) köhnə şifrə dəstini azaldır və mükəmməl irəliləmə sirri (PFS) ilə sürətli əlaqə qurulmasını təmin edərək, trafikin qarşısının alınması və retrospektiv şifrənin açılması riskini azaldır. İstirahət zamanı şifrələmə vəzifələrin ayrılması ilə AES-256 kimi güclü alqoritmlərdən istifadə etməklə həyata keçirilir: açarlar verilənlərlə birlikdə saxlanmır və ona giriş məhduddur və yoxlanılır (ISO/IEC 27001:2022). İstifadəçi üçün praktiki fayda həm tranzit, həm də istirahət zamanı məlumatların məxfiliyi və bütövlüyü, habelə potensial kompromislərin təsirini azaltmaqdır. Nümunə: İstifadəçi profili verilənlər bazası şifrələnir, açarlar ayrıca KMS tərəfindən idarə olunur və açarın fırlanması dəyişikliklərin idarə edilməsi jurnalında qeydə alınır (RFC 8446, 2018; ISO/IEC 27001:2022).
Şəbəkə və proqramların qorunması çox səviyyəli şəkildə həyata keçirilir: WAF zərərli sorğuları süzür və OWASP Top 10 təhdidindən qoruyur (OWASP ASVS, 2019–2023), IDS/IPS müdaxilə cəhdlərini aşkar edir və qarşısını alır və SIEM cari SP-nin erkən aşkarlanması üçün tətbiqlərdən, sistemlərdən və şəbəkədən gələn hadisələri əlaqələndirir. 2023-cü ilə qədər nəşrlər). Bu, veb tətbiqi və API zəifliklərindən istifadə ehtimalını azaldır, anormal trafik dövrlərində dayanıqlığı qoruyur və xidmətin əlçatanlığını qoruyur. Məsələn, SQL inyeksiya cəhdi baş verərsə, WAF sorğunu bloklayır, IDS port skanını aşkarlayır və SIEM hadisəni dərhal cavab vermək üçün SOC-a çatdırır (OWASP ASVS, 2019–2023; NIST SP 800-53, 2023).
Məlumatların saxlanması və ehtiyat nüsxəsi infrastrukturu sertifikatlaşdırılmış məlumat mərkəzləri, geo-paylanmış ehtiyat nüsxələri və RPO/RTO hədəfləri ilə sübut edilmiş fəlakətin bərpası (DR) planı üzərində qurulub. ISO/IEC 27031:2022 İKT fasiləsizliyinin idarə edilməsi təcrübələrini, bərpa testlərini və əvəzetmə prosedurlarının sənədləşdirilməsini müəyyən edir (ISO/IEC 27031:2022). Bu, istifadəçilər üçün proqnozlaşdırıla bilənliyi qoruyarkən məlumat itkisini (RPO) və xidmətlərin bərpa müddətini (RTO) minimuma endirir. Məsələn, əsas node uğursuz olarsa, replika iş yükünü öz üzərinə götürür və şifrələnmiş ehtiyat nüsxədən bərpa DR test hesabatında (ISO/IEC 27031:2022) əks olunan razılaşdırılmış RTO çərçivəsində baş verir.
Məlumata girişə nəzarət RBAC/ABAC modellərindən və ən az imtiyaz prinsipindən istifadə edərək insayder insidentləri və səhv əməliyyatlar ehtimalını azaldır. CIS Controls v8 (2021) və NIST SP 800-53 (2020) inzibati hesablar üçün məcburi giriş qeydini, dövri imtiyazların nəzərdən keçirilməsini və iki faktorlu autentifikasiyanı tövsiyə edir (CIS, 2021; NIST SP 800-53, 2020). Praktiki effekt: dəstək agenti ödəniş təfərrüatlarına giriş olmadan yalnız sorğu metadatasını görür; hərəkətlər jurnallarda qeyd olunur və həddən kənarlaşmalar nəzərdən keçirməyə səbəb olur. Nümunə: işçinin rolu dəyişdikdə, lazımsız girişi ləğv edərək və yoxlanıla bilən təsdiqi təmin edən imtiyazların nəzərdən keçirilməsi avtomatik olaraq işə salınır (CIS Controls v8, 2021; NIST SP 800-53, 2020).
TLS 1.3 istifadə olunur və veb və proqram trafiki necə qorunur?
Trafik TLS-in (1.2/1.3) müasir versiyaları ilə qorunur, köhnə şifrələrdən imtina edir və açar mübadiləsi üçün ECDHE, AES-GCM və ya simmetrik şifrələmə üçün CHACHA20-POLY1305 istifadə edilir, bu IETF tövsiyələrinə uyğundur və əsas brauzerlərdə (Chrome, EdgeFC, Firefox84IETF6) tətbiq edilir 2018). Sertifikat və etibarlı etibar zəncirinin mövcudluğu serverin autentifikasiyasını və MITM hücumlarına qarşı möhkəm mühafizəni təmin edir, PFS isə retrospektiv trafik şifrəsinin açılmasının qarşısını alır. Mobil tərəfdə sertifikatın bağlanması (etibarın konkret açar/sertifikatla əlaqələndirilməsi), protokol versiyasının yoxlanılması və API üçün sürətin məhdudlaşdırılması həyata keçirilir, hücum pəncərəsini azaldır və sorğu manipulyasiyasının qarşısını alır. Nümunə: İctimai şəbəkədən giriş sertifikatın yoxlanılması, TLS 1.3 quraşdırılması ilə müşayiət olunur və proksi ələ keçirmə cəhdi proqram tərəfindən rədd edilir (IETF RFC 8446, 2018).
İstirahət zamanı məlumatların şifrələnməsi və açarların idarə edilməsi necə qurulub?
İstirahət vəziyyətində şifrələmə, məlumatın səlahiyyətli sistemdən kənarda oxunmasının qarşısını alaraq, güclü alqoritmlərdən (məsələn, AES-256) istifadə edərək məlumatların şifrəli mətnə çevrilməsidir, vəzifələrin ayrılması isə açarların verilənlərin yaxınlığında saxlanmasının qarşısını alır. Ödəniş mühitində PCI DSS v4.0 tələbləri CVV-lərin saxlanmasını qadağan edir, PAN saxlama şərtlərini məhdudlaşdırır və ciddi giriş nəzarəti və əsas əməliyyatların auditini tələb edir (PCI SSC, 2022). Açar idarəçiliyinə açarın yaradılması, fırlanması, saxlanması və ləğvi daxildir, eyni zamanda aparat təhlükəsizlik modulları (HSM) NIST SP 800-57 təlimatlarına (NIST, 2020-ci ilə qədər cari nəşrlər) uyğun olaraq kriptoqrafik əməliyyatların təhlükəsiz icrasını və əsas materialın saxlanmasını təmin edir. Praktik effekt: şifrələnmiş fayl açar olmadan pozulsa belə, məlumat təcavüzkar üçün istifadə edilə bilməz; əməliyyat qeydləri məhkəmə-tibbi analizi və dəyişikliklərə nəzarəti təmin edir. Nümunə: Ehtiyat nüsxə şifrələnmiş soyuducu anbara yüklənir, sorğu əsasında giriş verilir və açarın fırlanması ayrıca təhlükəsizlik jurnalında qeyd olunur (PCI SSC, 2022; NIST SP 800-57, 2020).
WAF/IDS/IPS nə edir və hücumların qarşısını necə alır?
WAF (Web Application Firewall) HTTP/HTTPS trafikini təhlil edir və hücum imzalarını, o cümlədən SQL injection, XSS və digər OWASP Top 10 təhdidlərini, həmçinin parol kobud güc hücumları və autentifikasiyadan yan keçmə cəhdləri üçün xarakterik olan anomal davranış nümunələrini bloklayır (OWASP ASVS, 2019–202). IDS/IPS (Intrusion Detection/Provention Systems) şəbəkə trafikinə nəzarət edir, şübhəli fəaliyyəti müəyyən edir və NIST SP 800-94 tövsiyə edilən təcrübələrə (NIST, 2023-cü ilə qədər yenilənib) əsaslanaraq risk təsdiqləndikdə əlaqələri avtomatik dayandırır və ya seqmentləri təcrid edir. SIEM (Təhlükəsizlik Məlumatı və Hadisə İdarəetmə) proqram, sistem və şəbəkə qeydlərini əlaqələndirir, mürəkkəb hücum ssenarilərində fərqli hadisələri əlaqələndirir və SOC (SOC) üçün xəbərdarlıqlar yaradır. İstifadəçi üçün praktiki dəyər yüksək təhlükə mühitlərində xidmətin davamlılığı və hesabın sındırılması cəhdlərinin sürətlə azaldılmasıdır. Nümunə: DDoS artımı qaydalara uyğun olaraq front-end proksi və WAF tərəfindən süzülür, IDS port skanını aşkarlayır, SIEM hadisəni artırır və icazə mövcud qalır (OWASP ASVS, 2019–2023; NIST SP 800-94, 2023).
Məlumat mərkəzləri harada yerləşir, ehtiyat nüsxələri və DR necə həyata keçirilir?
Məlumat mərkəzləri məlumatları fiziki və təşkilati təhlükəsizliyi olan sahələrdə saxlayır və emal edir: girişə nəzarət, video nəzarət, artıq enerji və iqlim nəzarəti sistemləri və şəbəkə kartın emal mühitlərinin ayrılması üçün PCI DSS tələblərinə uyğun olaraq istifadəçi, inzibati və ödəniş sahələrini təcrid etmək üçün seqmentlərə bölünür (PCI SSC, 2022). Fəlakətin bərpası (DR) planı RPO (məqbul məlumat itkisi) və RTO (bərpa vaxtı məqsədi) hədəflərini və ehtiyat saytlara keçid prosedurunu müəyyən edir, bərpa testləri isə bu prosedurların işləkliyini yoxlayır (ISO/IEC 27031:2022). Yedək nüsxələri şifrələnmiş şəkildə saxlanılır və vaxtaşırı bərpa yoxlamalarından keçir, ehtiyat nüsxənin olması, lakin onu bərpa etməməsi kimi “yanlış təhlükəsizliyi” aradan qaldırır. Praktik effekt: proqnozlaşdırıla bilən fasilələr pəncərələri və əhəmiyyətli uğursuzluqlar zamanı belə əməliyyat məlumatlarının bütövlüyü. Nümunə: İllik DR təlimləri kritik komponentləri bərpa edir, hesabat hədəflənmiş RPO/RTO ilə uyğunluğu təsdiqləyir (ISO/IEC 27031:2022; PCI SSC, 2022).
Pinup.az əməliyyat proseslərini, insidentləri və auditləri necə idarə edir?
Əməliyyat prosesləri RBAC/ABAC modellərinə, ən az imtiyaz prinsipinə və bütün məlumat hərəkətlərinin məcburi qeydinə əsaslanır ki, bu da insayder insidentləri və səhv əməliyyatlar riskini azaldır. ISO/IEC 27001:2022 aktiv, giriş və insidentlərin idarə edilməsini sistemləşdirir, CIS Controls v8 (2021) isə hesab auditi, inzibati giriş üçün XİN və imtiyazların dövri nəzərdən keçirilməsi üçün təcrübələri müəyyən edir (ISO/IEC 27001:2022; CIS, 2021). Xidmətin etibarlılığı və prosesin təsdiqi baxımından təşkilati nəzarətin uzun müddət ərzində mövcud olduğunu və müstəqil auditor tərəfindən yoxlanıldığını nümayiş etdirən SOC 2 Tip II hesabatından (AICPA, 2020) tez-tez istifadə olunur. Praktiki təsir: təkcə texniki tədbirlər deyil, həm də giriş, dəyişiklik və yoxlama prosesləri dəstək asanlığı və riskin azaldılması arasında kompromis rolunu oynayır. Nümunə: Dəstək operatoru tranzaksiya statusunu və sorğu metadatasını görür, lakin jurnallarda qeydə alınan və auditlər zamanı yoxlanılan PAN-a girişi yoxdur (AICPA SOC 2 Type II, 2020).
Qeydiyyat və audit hadisələrin araşdırılması və uyğunluq üçün zəruri olan hərəkətlərin sənədləşdirilə bilən izini yaradır. PCI DSS v4.0 ödəniş məlumatlarına giriş hadisələrinin qeyd edilməsini, qeydlərin saxlanmasını və onların bütövlüyünün təmin edilməsini tələb edir, SIEM isə hadisələri əlaqələndirir və davranış anomaliyalarını müəyyən edir (PCI SSC, 2022). Qeyri-kafi log nəzarətinin tarixi nümunəsi Capital One hadisəsidir (2019), burada bulud resursuna yanlış konfiqurasiya edilmiş giriş 106 milyon qeydin kompromisinə gətirib çıxardı; hadisələrin gec əlaqəsi vaxtında cavab verməyi çətinləşdirdi (rəsmi hesabatlar və nəşrlər 2019-2020). Praktiki təsir: düzgün konfiqurasiya edilmiş jurnallar, vaxtında korrelyasiya və SOC-a eskalasiya insidentə məruz qalma pəncərəsini azaldır və geniş miqyaslı nəticələr baş verməzdən əvvəl onların tutulma ehtimalını artırır (PCI SSC, 2022).
Əgər pozuntu və ya məlumat sızması şübhəsi varsa nə baş verir?
Əgər pozuntu və ya sızma şübhəsi varsa, insidentin rəsmi idarə olunması prosesi başlayır: aktiv seanslar bloklanır, giriş yoxlanılır, əsas səbəbi müəyyən etmək üçün məhkəmə-tibbi ekspertiza işə salınır və müəyyən edilmiş müddət ərzində istifadəçilərə və lazım gəldikdə tənzimləyicilərə məlumat verilir. ENISA-nın insident barədə bildiriş təlimatları istifadəçilərə təsirə məruz qalan məlumatların kateqoriyalarının təsviri, görülən tədbirlər və riskin azaldılması üçün praktiki tövsiyələr təqdim etməyi tövsiyə edir (ENISA, 2018–2023). Ekstraterritorial GDPR tələbləri tətbiq olunarsa, təhlükəsizlik pozuntusu aşkar edildikdən sonra 72 saatdan gec olmayaraq tənzimləyiciyə bildiriş göndərilməlidir (GDPR 2016/679, 2018). Praktiki baxımdan platforma girişi dondurur, parolun dəyişdirilməsini və MFA-nın aktivləşdirilməsini tələb edir, sessiya nişanlarını ləğv edir, giriş və cihazların yoxlanması üçün təlimatlar təqdim edir. Nümunə: Yeni coğrafiyalardan anormal giriş fəaliyyəti baş verdikdə, SOC oyun kitabını işə salır, istifadəçini xəbərdar edir və araşdırma jurnalında hərəkətləri qeyd edir (ENISA, 2018–2023; GDPR 2016/679).
Mənim KYC sənədlərim necə və nə qədər müddətə saxlanılır və onlar silinə bilərmi?
KYC sənədləri (pasport, ünvan sübutu, vəsaitin yoxlanılması mənbəyi) AML tələblərinə və müqavilə öhdəliklərinə uyğun olaraq, yəni qanuni olaraq ayrıca razılıq olmadan saxlanılır. FATF Tövsiyələri retrospektiv nəzərdən keçirilməsini və tənzimləyicilərə cavabların verilməsini təmin etmək üçün əlaqə bitdikdən sonra ən azı beş il ərzində müştərinin şəxsiyyətini müəyyənləşdirmə və yoxlama qeydlərinin saxlanmasını tələb edir (FATF Tövsiyələri, 2012–2023). Qanunla başqa hal nəzərdə tutulmayıbsa, sənədin silinməsi məcburi müddət bitdikdən sonra mümkündür; silinmə emal jurnalında qeyd və istifadəçi üçün təsdiq yaradır. Praktik fayda: həssas sənədlərin həddindən artıq saxlanması riskinin azaldılması və silinmə prosedurlarının proqnozlaşdırıla bilməsi. Misal: hesab bağlandıqdan sonra platforma AML saxlama müddəti üçün KYC arxivini saxlayır, sonra qeydləri silir və saxlama siyasətinin bir hissəsi kimi təsdiqi təmin edir (FATF, 2012–2023).
Pentestlər və xarici auditlər nə qədər tez-tez keçirilir, səhv mükafatı varmı?
Penetrasiya testləri müntəzəm olaraq aparılır və OWASP tövsiyələrinə və müasir sınaq metodologiyalarına (OWASP Test Bələdçisi, 2017–2023) əməl edərək veb proqramları, mobil proqramları və infrastrukturu əhatə edir. Xarici auditlər həyata keçirilən nəzarət və prosedurların müstəqil qiymətləndirilməsini təmin edərək, PCI DSS və ISO/IEC 27001 standartlarına uyğunluğu təsdiqləyir (PCI SSC, 2022; ISO/IEC 27001:2022). Bundan əlavə, HackerOne kimi səhv mükafat proqramları tədqiqatçılardan zəifliklərin alınmasını sistemləşdirir, qüsurların istismar edilməzdən əvvəl bağlanmasını sürətləndirir; platformanın 2021–2023-cü illər üzrə hesabatları təhlükəsizlik kraudsorsinqin effektivliyini nümayiş etdirir (HackerOne, 2021–2023). Praktik təsir: davamlı xarici sınaq və tapıntılar üçün mükafatlar təhlükəsizlik kor nöqtələri riskini azaldır. Nümunə: aşkar edilmiş XSS zəifliyi kütləvi istismardan əvvəl səhv mükafatı vasitəsilə tez bir zamanda düzəldildi (OWASP, 2017–2023; HackerOne, 2021–2023).
Şirkət daxilində kimlər mənim məlumatımı görə bilər və giriş necə idarə olunur?
Məlumata giriş ən az imtiyaz prinsipi ilə tənzimlənir: işçi yalnız tapşırıqları yerinə yetirmək üçün lazım olan hüquqları alır və bütün əməliyyatlar qeyd olunur və vaxtaşırı nəzərdən keçirilir. CIS Controls v8 müntəzəm hesab auditlərini, kritik giriş üçün XİN-i və inzibati zonaların ayrılmasını tövsiyə edir, NIST SP 800-53 texniki nəzarəti və giriş izi auditini aydınlaşdırır (CIS, 2021; NIST SP 800-53, 2020). İstifadəçi üçün praktiki fayda, daxili məlumatların pozulması ehtimalının azaldılması və anomaliyalara proqnozlaşdırıla bilən reaksiyadır. Məsələn, işçi başqa vəzifəyə keçirildikdə, istifadə olunmamış hüquqların ləğvi və audit jurnalında dəyişikliyin təsdiqi avtomatik olaraq “unudulmuş” girişi aradan qaldıraraq işə salınır (CIS, 2021; NIST SP 800-53, 2020).
Pinup.az-dan kukilər olmadan istifadə edə bilərəm və izləməni necə qura bilərəm?
Kukilər (cihazınızda saxlanılan kiçik fayllar) identifikasiya, sessiyaya qulluq, fərdiləşdirmə və analitika üçün istifadə olunur. Funksional kukilər əsas funksionallıq üçün vacibdir, analitik və reklam kukiləri isə isteğe bağlıdır və istifadəçinin açıq razılığını tələb edir. Avropa Məlumatların Mühafizəsi Şurası (EDPB, 2019) və CNIL (Fransa) kimi tənzimləyicilər şəffaf razılığın və imtina etmək imkanının vacibliyini vurğulayır; Bunun bariz nümunəsi Google-un 2020-ci ildə yanlış kuki idarəçiliyinə və lazımi razılığın olmamasına görə 100 milyon avro cərimələnməsidir (CNIL, 2020). Praktikada bu, kukiləri idarə etmək üçün razılıq bannerinin, profil parametrlərinin və brauzer alətlərinin təmin edilməsi, habelə növlərin, istifadə müddətlərinin və alıcıların siyahısının dərc edilməsi deməkdir. Bu, istifadəçiyə izləmə üzərində nəzarəti təmin edir və əsas funksionallığı qoruyarkən həddindən artıq məlumat toplamasını azaldır (EDPB, 2019; CNIL, 2020).
Funksional, analitik və reklam kukiləri arasında fərq nədir?
Funksional kukilər avtorizasiyanı, sessiyaları və əsas interfeys parametrlərini dəstəkləyir; onlarsız hesaba daxil olmaq və stabil işləmək mümkün olmaya bilər. Analitik kukilər interfeysi və performansı yaxşılaşdırmaq üçün istifadə hadisələrini (məsələn, səhifələr və kliklər) toplayır, reklam kukiləri isə fərdiləşdirilmiş reklam üçün istifadə olunur və məlumatları üçüncü tərəf şəbəkələrinə ötürə bilər. GDPR (2016/679) şəxsi məlumatları və razılığı müəyyən edir və IAB Avropanın sənaye təlimatları (2021) reklam şəbəkələrinə ötürülməyə nəzarət etmək üçün vacib olan birinci tərəf kukiləri (veb-saytın özü tərəfindən təyin olunur) və üçüncü tərəf kukiləri (üçüncü tərəf domenləri tərəfindən təyin olunur) arasında fərqləndirir. Praktiki təsir: istifadəçi əsas funksionallığı qoruyarkən analitik və reklam kukilərini söndürə, həmçinin hansı kukilərin aktiv olduğunu və onları kimin təyin etdiyini yoxlaya bilər (GDPR 2016/679; IAB Europe, 2021).
Analitika və reklam kukilərini necə söndürə bilərəm və izlərimi silə bilərəm?
Analitika və reklam kukilərinin söndürülməsi razılıq banneri, profil parametrləri və brauzer seçimləri vasitəsilə həyata keçirilir; kukilərin və keşin təmizlənməsi saxlanılan identifikatorları silir və saytı defolt vəziyyətinə qaytarır. Mozilla-nın məxfilik qaydaları (2022) kukiləri idarə etmək, izləmə mühafizəsi və şəxsi baxış rejimləri üçün alətləri təsvir edir, Chrome SameSite yeniləməsi isə (2020) saytlararası kukilərin ötürülməsi qaydalarını dəyişərək, onların açıq atributları olmadan istifadəsini məhdudlaşdırır (Mozilla, 2022; Google Chrome, 2020). Praktiki effekt: istifadəçi hesab əməliyyatı üçün funksional kukiləri tərk edərək marketinq izləməni tez bir zamanda söndürə və yenidən razılıq prosesindən keçə bilər. Nümunə: kukiləri təmizlədikdən sonra sayt sessiya başlamazdan əvvəl deaktiv edilə bilən analitika və reklam kateqoriyaları üçün razılıq tələb edir (Mozilla, 2022; Google Chrome, 2020).
Sayt fərdiləşdirmədən işləyirmi və nə “sındıra” bilər?
Veb sayt fərdiləşdirmə olmadan işləyir, lakin tövsiyə blokları, fərdi təkliflər və bəzi “ağıllı” funksiyalar paylaşılır; analitikanın söndürülməsi davranış ssenarilərinin dəqiqliyini azalda bilər. ENISA, istifadəçilərə izləmə nəzarəti və onu aradan qaldırmağın aydın nəticələrini təmin edərək, dizayn və məxfilik tərəfindən defolt olaraq məxfiliyin həyata keçirilməsini tövsiyə edir (ENISA, 2019). IAB Europe (2021) tərəfindən sənaye araşdırması reklamın fərdiləşdirilməsini deaktiv edərkən fərdiləşdirilmiş bloklar üzrə cəlbetmə nisbətlərinin və CTR-nin azaldığını göstərir, bu da parametrləri seçərkən nəzərə alınması faydalıdır. Praktiki effekt: istifadəçi məxfiliyə nəzarəti öz əlində saxlayır, rahatlığı məlum olur; interfeys analitika və reklam kukiləri olmadan işlək qalmalıdır (ENISA, 2019; IAB Europe, 2021).
Hazırda hansı kukilərin aktiv olduğunu necə yoxlamaq olar?
Aktiv kukilər brauzer tərtibatçısı alətləri (DevTools) vasitəsilə yoxlanılır: Saxlama/Kukilər bölmələri cari fayllar, domenlər, son istifadə tarixləri və təhlükəsizlik bayraqlarını göstərir (Yalnız HttpOnly, Secure). Chrome və Firefox sənədləri (2022) kuki siyahılarında naviqasiya, domen üzrə filtrasiya və SameSite atributlarının yoxlanılmasını təsvir edir. Ağıllı İzləmə Qarşısının alınması (ITP, 2017–2021) Apple ekosistemi üçün əlçatandır, saytlararası izləməni və müəyyən kukilərin istifadə müddətini məhdudlaşdırır. Praktik effekt: istifadəçi kukilərin faktiki dəstini görür, onları saytın siyasəti ilə müqayisə edə və xüsusi kateqoriyaları deaktiv etməyə qərar verə bilər. Nümunə: DevTools-da istifadəçi SameSite və Secure sütunlarını yoxlayır, kukilərin siyahısını siyasət təsviri ilə müqayisə edir və analitika/reklam kateqoriyalarını deaktiv edir (Chrome/Firefox Sənədləri, 2022; Apple ITP, 2017–2021).
Kartımı Pinup.az-a daxil etmək nə dərəcədə təhlükəsizdir və mənim ödəniş məlumatımı kim görə bilər?
Ödəniş məlumatları həssas olaraq təsnif edilir və CVV-lərin saxlanmasını qadağan edən, PAN saxlama şərtlərini məhdudlaşdıran, tokenləşdirməni və ödəniş mühitinin ciddi seqmentasiyasını tələb edən PCI DSS v4.0 ilə tənzimlənir (PCI SSC, 2022). Uyğunluq illik auditlər (ROC/AOC) ilə təsdiqlənir və prosessorlar və tacirlər mütəmadi olaraq ASV zəifliyi skanları və nüfuzetmə testlərindən keçirlər ki, bu da güzəşt riskini azaldır. Heartland Payment Systems (2008, təxminən 130 milyon kartın məlumatların pozulması) kimi tarixi hadisələr qeyri-adekvat nəzarətin nəticələrini nümayiş etdirir və sənayenin artan tələblərini stimullaşdırır (2008-2010-cu illər hesabatları). İstifadəçi üçün praktiki nəticə təkrar əməliyyatlar üçün tokenizasiya, ödəniş dövrəsinin təcrid edilməsi və insident zamanı məlumatların dəyərini azaldan personalın məhdud girişidir (PCI SSC, 2022).
Veb sayt mənim kart nömrəmi saxlayırmı və tokenizasiya niyə lazımdır?
Tokenləşdirmə PAN-ı (kart nömrəsi) prosessorun təhlükəsiz mühitindən kənarda heç bir dəyəri olmayan unikal identifikator (token) ilə əvəz edir. Orijinal PAN açıq mətndə saxlanmır və ona giriş PCI DSS v4.0 (PCI SSC, 2022) uyğun olaraq ciddi şəkildə məhdudlaşdırılır və yoxlanılır. PCI SSC Tokenization Guide (2011) təkrar əməliyyatlar üçün tokenizasiya arxitekturasını və riskin azaldılmasını təsvir edir və Visa Təhlükəsizlik Hesabatı (2019) qeyd edir ki, tokenizasiyanın həyata keçirilməsi kart ekosistemində ödəniş identifikatorunun sızması ehtimalını əhəmiyyətli dərəcədə azaldır. Praktiki fayda: təkrar ödənişlər tokendən istifadə etməklə emal edilir, PAN təhlükəsiz mühiti tərk etmir və güzəşt edilmiş işarə əməliyyatın prosessordan kənarda tamamlanmasının qarşısını alır. Nümunə: istifadəçi kartı doldurmaq üçün əlaqələndirir, platforma yalnız tokeni saxlayır və təkrar ödəniş üçün prosessorun nişanı PAN-a giriş olmadan istifadə olunur (PCI SSC, 2011; Visa Təhlükəsizlik Hesabatı, 2019).
Ödəniş prosessoru kimdir və hansı yoxlamalar aparılır?
Ödəniş əməliyyatları təhlükəsizlik standartlarına və brend tələblərinə uyğunluğun illik təsdiqi ilə Visa/Mastercard şəbəkələrinə qoşulmuş sertifikatlaşdırılmış prosessorlar/banklar tərəfindən həyata keçirilir (Uyğunluq Hesabatları, 2020). Bu yoxlamalara infrastruktur auditləri, ROC/AOC, ASV skanları və fırıldaqçılıq prosesinin qiymətləndirilməsi daxildir, ödəniş dövrəsinin seqmentasiyası və əməliyyatların monitorinqi məlumatların istifadəçi mühiti ilə qarışdırılmasının qarşısını alır (PCI SSC, 2022; Visa/Mastercard, 2020). İstifadəçi üçün praktik əhəmiyyət kəsb edən ekosistemin yoxlanılmasıdır: qorunma təkcə vebsayt tərəfində deyil, həm də prosessor tərəfində işləyir. Wirecard-ın (2020) tarixi konteksti ödənişlər ekosisteminə etimadın bir hissəsi kimi prosessorların müstəqil auditlərinin və maliyyə hesabatlarının vacibliyini nümayiş etdirir (Nəşrlər və Hesabatlar 2020). Nümunə: Prosessor PCI DSS uyğunluğunu təsdiq edən AOC dərc edir və brend şəbəkə aparat və proqram təminatının emal komponentlərini təsdiqləyir (PCI SSC, 2022; Visa/Mastercard, 2020).
Əlaqələndirilmiş kartı silmək mümkündürmü və pulun çıxarılması necə qorunur?
Əlaqələndirilmiş kartın çıxarılması profildən həyata keçirilir: nişan kəsilir və PAN veb sayt sistemində saxlanmır, bu məlumatların minimuma endirilməsi prinsipinə uyğundur və həddindən artıq saxlama riskini azaldır (PCI SSC, 2022). Çıxarılmalar əlavə yoxlamalar – limitlər, fırıldaqçılığa qarşı ssenarilər və parol oğurlandıqda icazəsiz əməliyyatları bloklayan çox faktorlu autentifikasiya (MFA) ilə idarə olunur. Microsoft Təhlükəsizliyi araşdırması (2019) göstərir ki, XİN hesaba hücumların müvəffəqiyyət dərəcəsini miqyaslı sifarişlərlə (~99%-ə qədər) azaldır və parol oğurluğunu vəsaitlərin çıxarılması üçün kifayət etmir (Microsoft Security Report, 2019). Praktiki təsir: təcavüzkarın parola girişi olsa belə, əməliyyat ikinci faktorun təsdiqi mərhələsində dayandırılır. Nümunə: istifadəçi kartı silir, platforma nişanı deaktiv edir və pulun çıxarılması istifadəçinin açıq-aşkar iştirakı olmadan köçürmələrin qarşısını almaq üçün XİN tələb edir (PCI SSC, 2022; Microsoft Təhlükəsizlik Hesabatı, 2019).
3-D Secure/MFA nə üçün tələb olunur və bu, rahatlığa necə təsir edir?
3-D Secure kart sahibinin ödənişə başladığını təsdiqləyən, icazəsiz əməliyyatların baş vermə ehtimalını azaldan əlavə kart sahibinin autentifikasiyası protokoludur. Aİ-də PSD2 direktivi (2019) Güclü Müştəri Doğrulamasını onlayn ödənişlər üçün məcburi etdi və Avropa Mərkəzi Bankının (2020) hesabatı güclü autentifikasiyanın geniş istifadəsi ilə fırıldaqçılıq dərəcələrinin azaldığını sənədləşdirdi (PSD2, 2019; ECB Hesabatı, 2020). Praktik güzəşt ödəniş zamanı (kod daxil etmək və ya proqramda təsdiqləmək) riskin əhəmiyyətli dərəcədə azalmasına qarşı əlavə bir addımdır. İstifadəçi üçün bu o deməkdir ki, bəzi detallar sızsa belə, ikinci amil olmadan əməliyyatı tamamlamaq çətindir. Nümunə: sistem 3-D Secure kodu tələb etdi, istifadəçi əməliyyatı təsdiqlədi, lakin təsdiqi olmayan ödəniş cəhdi prosessor tərəfindən rədd edildi (PSD2, 2019; ECB Hesabatı, 2020).