+380996133328 [email protected]
ua
ua

Аудит безпеки банківських цифрових каналів

Клієнт:
Велика фінансова установа, що обслуговує понад 500 000 клієнтів
Галузь:
Фінанси
Фокус:
Захист персональних, фінансових та корпоративних даних у мобільних застосунках, вебпорталах та внутрішній інфраструктурі
Основний виклик:
Перевірка стійкості цифрових сервісів до атак, захист чутливих даних, відповідність міжнародним стандартам безпеки
Ринок:
Грузія
Надані послуги:
Перевірка безпеки коду, Black-box і Gray-box пентест
Ключові висновки
  • Посилили захист веб-, мобільних додатків та API
  • Запобігли потенційній DoS-атаці та виявили 106 проблем
  • Проведели Pentest і Code Review цифрових сервісів
  • Надали детальний звіт і практичні рекомендації для підвищення безпеки та відповідності стандартам PCI DSS та ISO/IEC 27001.
    • 48
    годин від виявлення до виправлення
    7
    критичних вразливостей виявлено
    1
    DoS-атаку випереджено та заблоковано
    Аудит безпеки банківських цифрових каналів
    Січ. 31, 2025
    14 хв
    Наскільки стійкі банківські сервіси до сучасних атак? Аби це з'ясувати, велика фінансова установа звернулася до Datami для проведення комплексного пентесту та перевірки коду. У результаті виявлено 106 вразливостей і заблоковано потенційну DoS-атаку на кол-центр.

    Велика фінансова установа з Грузії обслуговує понад 500 000 клієнтів через мобільні застосунки, вебпортали та API. Компанія обробляє чутливі дані та працює у регульованій галузі, де діють вимоги стандартів PCI DSS і ISO/IEC 27001.

    Захист інформації критично важливий для запобігання витокам, фінансовому шахрайству й несанкціонованому доступу, а регулярні перевірки безпеки дозволяють підвищувати кіберстійкість.

     

    Завдання та виклики
    Банківська установа ініціювала планову перевірку безпеки, щоб оцінити стійкість цифрових сервісів до атак і врахувати вимоги регульованої галузі, зокрема PCI DSS і ISO/IEC 27001.

    Метою проєкту стало виявлення вразливостей, оцінка ризиків кіберзагроз, посилення захисту персональних, фінансових і корпоративних даних.
     
    • Провести black-box і grey-box пентести клієнтських вебпорталів, мобільних застосунків, API, POS-термінала та частини внутрішньої ІТ-інфраструктури.
    • Виконати Code Review критичних компонентів для перевірки логіки, автентифікації та взаємодії між модулями.
    • Оцінити конфігурації, виявити вразливості, визначити рівень ризику, надати рекомендації та перевірити відповідність стандартам.
    icon
    Пентест і перевірка коду
    Вебпортали, мобільні застосунки, API, POS і внутрішня мережа
    icon
    Аналіз ризиків
    Оцінка ризиків, логічних помилок і слабких місць у конфігураціях
    icon
    Звіт і рекомендації
    Опис вразливостей, рівень ризику та кроки для усунення
    Методологія Datami: перевірка цифрової безпеки фінансової установи

    Наш підхід

    Перед тестуванням ми проаналізували технічну документацію клієнта для точного моделювання загроз. 

    Команда провела black-box і grey-box пентест ключових цифрових сервісів банку та перевірку безпеки коду окремих компонентів. Datami протестувала вебпортали, мобільні застосунки, API, внутрішню інфраструктуру та POS-термінали.

    Ми поєднали автоматизовані сканери та ручне тестування, застосували OWASP Top 10, MITM-аналіз, fuzzing і кастомні скрипти. Перевірили конфігурації, авторизацію та взаємодію компонентів в умовах часткового доступу до інфраструктури клієнта — змоделювали найбільш ймовірні вектори атак у реальному середовищі.

     

    Black-box

    Black-box

    Зовнішнє тестування без доступу до внутрішньої інформації — змоделювали атаки з боку сторонніх осіб або хакерів без прав доступу.
    Gray-box

    Gray-box

    Частковий доступ дозволив дослідити внутрішню логіку систем, знайти вразливості в API, мобільних застосунках і налаштуваннях сервісів.
    Основні етапи роботи та рішення

    В процесі Datami адаптувала план робіт під специфіку інфраструктури, затримки з доступами та додаткові об’єкти, які з’являлись після старту. Команда змінювала IP-адреси під час сканування, щоб уникнути блокувань. Було погоджено тимчасове розширення прав і створено тунелі через обмежені зони для охоплення частини ізольованих систем.

    • Підготовка:
      Збір технічної інформації та аналіз документації, погодження об’єктів тестування, формування плану з урахуванням специфіки регульованої галузі.
    • Тестування:
      Пентест (black-box і grey-box) цифрових сервісів — мобільних додатків, API, вебпорталів, POS та частини внутрішньої мережі. Перевірка безпеки коду для оцінки логіки, авторизації та взаємодії між модулями.
    • Аналіз і звіт:
      Оцінка ризиків, пріоритезація проблем, підготовка звіту з чіткими рекомендаціями щодо усунення вразливостей і підвищення рівня безпеки.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Менше критичних ризиків — більше впевненості

    Результати та рекомендації

    До проєкту клієнт мав доволі захищену систему, проте тестування виявило низку критичних і високих ризиків, зокрема — відсутність CAPTCHA і захисту від DoS-атак, слабкий контроль подій безпеки та вразливі точки доступу через API.

    Команда Datami виявила 106 вразливостей: 7 критичних, 15 високих, 44 середніх, 36 низьких і 4 інформаційних. Зокрема виявлено та заблоковано можливість DoS-атаки на кол-центр через масове створення запитів на зворотний дзвінок. 

    Клієнт оперативно реалізував перші заходи: частину проблем усунуто протягом 48 годин.

    1. впровадити CAPTCHA та rate limiting на критичні елементи інтерфейсу;
    2. покращити логування та моніторинг безпеки;
    3. переглянути політики доступу для API;
    4. регулярно оновлювати систему захисту відповідно до PCI DSS та ISO/IEC 27001.

    регулярно оновлювати систему захисту відповідно до PCI DSS та ISO/IEC 27001.

    Через масштабність і специфіку інфраструктури проєкт тривав 5 місяців, включно з додатковими об’єктами, що з’явилися під час роботи.

    ПІДТВЕРДЖЕНА ЕКСПЕРТНІСТЬ КОМАНДИ DATAMI

    Наші сертифікати

    Datami – компанія з кібербезпеки, кваліфікація якої підтверджена 26 сертифікаціями та міжнародними стандартами. Це дозволяє нам виконувати завдання різної складності, дотримуючись вимог до безпеки, конфіденційності та етичних практик.
    Ключові висновки проєкту

    Проєкт допоміг банківській установі вчасно виявити критичні вразливості, уникнути DoS-атаки на кол-центр і зміцнити захист клієнтських сервісів.

    Клієнт отримав глибоку оцінку безпеки та практичні рекомендації Datami щодо усунення вразливостей та посилення кібербезпеки.

    Кейс проєкту підтверджує: навіть захищені фінансові компанії потребують регулярного пентесту та перевірки коду для зниження ризиків і дотримання вимог.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Часткове покриття безпеки, без глибокого аналізу
    Виявлено 106 вразливостей, складено план усунення
    Критичні вразливості
    Потенційний DoS, ризики через API та форму зворотного зв’язку
    7 критичних загроз, частина усунена за 48 годин
    Компрометація акаунтів
    Ризик виведення з ладу кол-центру, витоку даних через слабке обмеження трафіку
    Запроваджено rate limiting, надано рекомендації з моніторингу та логування
    Відповідність безпеці
    Часткова відповідність стандартам PCI DSS та ISO/IEC 27001
    Надано технічний звіт і план дій для повної відповідності
    Строки
    План — 5 місяців
    Задачі виконано у заплановані строки, хоча обсяг робіт у процесі виріс
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Топ-3 галузей з найбільшою кількістю критичних вразливостей у кібербезпеці (з практики Datami) Олександр Філіпов
    Олександр Філіпов
    Топ-3 галузей з найбільшою кількістю критичних вразливостей у кібербезпеці (з практики Datami)

    А ви знаєте, в якій галузі найбільше критичних ризиків у кібербезпеці? Ми проаналізували результати проєктів Datami і визначили три індустрії, де в середньому на один проєкт виявили найбільше критичних вразливостей.

    Бер. 31, 2026 15 хв.
    Топ-4 найвразливіших галузей за версією Datami Олександр Філіпов
    Олександр Філіпов
    Топ-4 найвразливіших галузей за версією Datami

    Чи залежить рівень кіберризиків від галузі? Datami проаналізувала зв’язок між кількістю вразливостей і сферою діяльності компаній та визначила топ галузей із найбільшою концентрацією слабких місць.

    Бер. 27, 2026 10 хв.
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов
    Олександр Філіпов
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Показати всі статті
    Замовте консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie