ua

Аудит безпеки банківських цифрових каналів

Клієнт:
Велика фінансова установа, що обслуговує понад 500 000 клієнтів
Галузь:
Фінанси
Фокус:
Захист персональних, фінансових та корпоративних даних у мобільних застосунках, вебпорталах та внутрішній інфраструктурі
Основний виклик:
Перевірка стійкості цифрових сервісів до атак, захист чутливих даних, відповідність міжнародним стандартам безпеки
Ринок:
Грузія
Надані послуги:
Ключові висновки
  • Посилили захист веб-, мобільних додатків та API
  • Запобігли потенційній DoS-атаці та виявили 106 проблем
  • Проведели Pentest і Code Review цифрових сервісів
  • Надали детальний звіт і практичні рекомендації для підвищення безпеки та відповідності стандартам PCI DSS та ISO/IEC 27001.
  • 48
    годин від виявлення до виправлення
    7
    критичних вразливостей виявлено
    1
    DoS-атаку випереджено та заблоковано
    Аудит безпеки банківських цифрових каналів
    Наскільки стійкі банківські сервіси до сучасних атак? Аби це з'ясувати, велика фінансова установа звернулася до Datami для проведення комплексного пентесту та перевірки коду. У результаті виявлено 106 вразливостей і заблоковано потенційну DoS-атаку на кол-центр.

    Велика фінансова установа з Грузії обслуговує понад 500 000 клієнтів через мобільні застосунки, вебпортали та API. Компанія обробляє чутливі дані та працює у регульованій галузі, де діють вимоги стандартів PCI DSS і ISO/IEC 27001.

    Захист інформації критично важливий для запобігання витокам, фінансовому шахрайству й несанкціонованому доступу, а регулярні перевірки безпеки дозволяють підвищувати кіберстійкість.

     

    Завдання та виклики
    Банківська установа ініціювала планову перевірку безпеки, щоб оцінити стійкість цифрових сервісів до атак і врахувати вимоги регульованої галузі, зокрема PCI DSS і ISO/IEC 27001.

    Метою проєкту стало виявлення вразливостей, оцінка ризиків кіберзагроз, посилення захисту персональних, фінансових і корпоративних даних.
     
    • Провести black-box і grey-box пентести клієнтських вебпорталів, мобільних застосунків, API, POS-термінала та частини внутрішньої ІТ-інфраструктури.
    • Виконати Code Review критичних компонентів для перевірки логіки, автентифікації та взаємодії між модулями.
    • Оцінити конфігурації, виявити вразливості, визначити рівень ризику, надати рекомендації та перевірити відповідність стандартам.
    icon
    Пентест і перевірка коду
    Вебпортали, мобільні застосунки, API, POS і внутрішня мережа
    icon
    Аналіз ризиків
    Оцінка ризиків, логічних помилок і слабких місць у конфігураціях
    icon
    Звіт і рекомендації
    Опис вразливостей, рівень ризику та кроки для усунення

    Наш підхід

    Перед тестуванням ми проаналізували технічну документацію клієнта для точного моделювання загроз. 

    Команда провела black-box і grey-box пентест ключових цифрових сервісів банку та перевірку безпеки коду окремих компонентів. Datami протестувала вебпортали, мобільні застосунки, API, внутрішню інфраструктуру та POS-термінали.

    Ми поєднали автоматизовані сканери та ручне тестування, застосували OWASP Top 10, MITM-аналіз, fuzzing і кастомні скрипти. Перевірили конфігурації, авторизацію та взаємодію компонентів в умовах часткового доступу до інфраструктури клієнта — змоделювали найбільш ймовірні вектори атак у реальному середовищі.

     

    Black-box

    Black-box

    Зовнішнє тестування без доступу до внутрішньої інформації — змоделювали атаки з боку сторонніх осіб або хакерів без прав доступу.
    Gray-box

    Gray-box

    Частковий доступ дозволив дослідити внутрішню логіку систем, знайти вразливості в API, мобільних застосунках і налаштуваннях сервісів.
    Основні етапи роботи та рішення

    В процесі Datami адаптувала план робіт під специфіку інфраструктури, затримки з доступами та додаткові об’єкти, які з’являлись після старту. Команда змінювала IP-адреси під час сканування, щоб уникнути блокувань. Було погоджено тимчасове розширення прав і створено тунелі через обмежені зони для охоплення частини ізольованих систем.

    • Підготовка:
      Збір технічної інформації та аналіз документації, погодження об’єктів тестування, формування плану з урахуванням специфіки регульованої галузі.
    • Тестування:
      Пентест (black-box і grey-box) цифрових сервісів — мобільних додатків, API, вебпорталів, POS та частини внутрішньої мережі. Перевірка безпеки коду для оцінки логіки, авторизації та взаємодії між модулями.
    • Аналіз і звіт:
      Оцінка ризиків, пріоритезація проблем, підготовка звіту з чіткими рекомендаціями щодо усунення вразливостей і підвищення рівня безпеки.
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    До проєкту клієнт мав доволі захищену систему, проте тестування виявило низку критичних і високих ризиків, зокрема — відсутність CAPTCHA і захисту від DoS-атак, слабкий контроль подій безпеки та вразливі точки доступу через API.

    Команда Datami виявила 106 вразливостей: 7 критичних, 15 високих, 44 середніх, 36 низьких і 4 інформаційних. Зокрема виявлено та заблоковано можливість DoS-атаки на кол-центр через масове створення запитів на зворотний дзвінок. 

    Клієнт оперативно реалізував перші заходи: частину проблем усунуто протягом 48 годин.

    1. впровадити CAPTCHA та rate limiting на критичні елементи інтерфейсу;
    2. покращити логування та моніторинг безпеки;
    3. переглянути політики доступу для API;
    4. регулярно оновлювати систему захисту відповідно до PCI DSS та ISO/IEC 27001.

    регулярно оновлювати систему захисту відповідно до PCI DSS та ISO/IEC 27001.

    Через масштабність і специфіку інфраструктури проєкт тривав 5 місяців, включно з додатковими об’єктами, що з’явилися під час роботи.

    Наші сертифікати

    Datami – компанія з кібербезпеки, кваліфікація якої підтверджена 26 сертифікаціями та міжнародними стандартами. Це дозволяє нам виконувати завдання різної складності, дотримуючись вимог до безпеки, конфіденційності та етичних практик.
    Ключові висновки проєкту

    Проєкт допоміг банківській установі вчасно виявити критичні вразливості, уникнути DoS-атаки на кол-центр і зміцнити захист клієнтських сервісів.

    Клієнт отримав глибоку оцінку безпеки та практичні рекомендації Datami щодо усунення вразливостей та посилення кібербезпеки.

    Кейс проєкту підтверджує: навіть захищені фінансові компанії потребують регулярного пентесту та перевірки коду для зниження ризиків і дотримання вимог.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Часткове покриття безпеки, без глибокого аналізу
    Виявлено 106 вразливостей, складено план усунення
    Критичні вразливості
    Потенційний DoS, ризики через API та форму зворотного зв’язку
    7 критичних загроз, частина усунена за 48 годин
    Компрометація акаунтів
    Ризик виведення з ладу кол-центру, витоку даних через слабке обмеження трафіку
    Запроваджено rate limiting, надано рекомендації з моніторингу та логування
    Відповідність безпеці
    Часткова відповідність стандартам PCI DSS та ISO/IEC 27001
    Надано технічний звіт і план дій для повної відповідності
    Строки
    План — 5 місяців
    Задачі виконано у заплановані строки, хоча обсяг робіт у процесі виріс
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Впровадження SIEM Wazuh для фінансової компанії
    Впровадження SIEM Wazuh для фінансової компанії
    • Забезпечено готовність до аудиту PCI DSS та ISO 27001
    • Кількість хибних спрацювань знижено на 60–70%
    Послуги:
    Впровадження SIEM (Wazuh)
    Лип. 1, 2026
    Аудит безпеки блокчейн-проєкту
    Аудит безпеки блокчейн-проєкту
    • Перевірено 9000+ рядків Rust-коду.
    • Проєкт сертифіковано Datami для криптопроєктів
    Послуги:
    Blockchain Security Audit
    Черв. 30, 2026
    Впровадження SOC для ІТ-компанії
    Впровадження SOC для ІТ-компанії
    • Налаштовано 47 сценаріїв виявлення, 25 сценаріїв реагування
    • Відповідність ISO 27001 підвищено з 32% до 94%
    Послуги:
    SOC / SIEM Implementation
    Черв. 30, 2026
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Пентест мобільних додатків: захист від шкідливих застосунків Олександр Філіпов
    Олександр Філіпов
    Пентест мобільних додатків: захист від шкідливих застосунків

    Шкідливі мобільні додатки атакують не лише смартфон — вони цілеспрямовано використовують вразливості вашого застосунку. Читайте, як пентест виявляє ці слабкі місця до того, як ними скористається зловмисник.

    15 хв. Черв. 30, 2026
    Топ проблем кібербезпеки бізнесу Олександр Філіпов
    Олександр Філіпов
    Топ проблем кібербезпеки бізнесу

    З якими проблемами кібербезпеки найчастіше стикається бізнес? У цій статті розглядаємо топ-9 найпоширеніших типів проблем за рівнем критичності та даємо рекомендації щодо їх усунення.

    3 хв. Трав. 4, 2026
    Що таке інцидент кібербезпеки? Олександр Філіпов
    Олександр Філіпов
    Що таке інцидент кібербезпеки?

    Кіберінциденти давно перестали бути головним болем лише великих корпорацій і державних структур. Сьогодні це звичайна частина цифрової реальності, з якою стикаються компанії будь-якого масштабу.

    3 хв. Трав. 4, 2026
    Замовте консультацію
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie