+380996133328 [email protected]
ua
ua

Кейс Grindset Software: Пентест платіжної системи для відповідності PCI DSS

Клієнт:
Grindset Software — міжнародна компанія-розробник програмного забезпечення для обробки платежів і управління транзакціями
 
Галузь:
Розробка програмного забезпечення
Фокус:
Захист фінансових даних клієнтів і відповідність стандарту PCI DSS
Основний виклик:
Виявлення та усунення вразливостей у платіжній інфраструктурі
 
Ринок:
Міжнародний
Надані послуги:
Black-box пентест платіжної системи, включно з перевіркою вебдодатків, серверів, баз даних і каналів комунікації
Ключові висновки
  • Проведено black-box пентест ключових компонентів платіжної системи
  • Виявлено 15 вразливостей; 5 критичних усунено за 48 годин
  • Стійкість до атак підвищено на 85% та покращено відповідність PCI DSS
    • 15
    вразливостей виявлено
    85%
    підвищення стійкості до кібератак
    48
    годин час усунення вразливостей
    Кейс Grindset Software: Пентест платіжної системи для відповідності PCI DSS
    Трав. 30, 2025
    14 хв.
    Чи може одна вразливість у платіжній системі коштувати $500,000? Grindset Software вирішила не ризикувати та звернулася до Datami для перевірки безпеки платіжної системи. Ми провели black-box пентест та виявили 15 вразливостей. У результаті компанія підвищила стійкість до атак та підготувалась до сертифікації PCI DSS.

    Grindset Software — міжнародна ІТ-компанія, яка створює програмні рішення для фінансових сервісів. Основний фокус — платіжні системи та обробка транзакцій для бізнесу. Щодня тисячі користувачів взаємодіють із вебплатформою компанії для проведення платежів. 

    Grindset працює у високоризиковій галузі фінансових технологій і повинна дотримуватися міжнародних стандартів PCI DSS, тому кіберзахист для неї критично важливий

     

    Завдання та виклики
    Grindset Software обробляє конфіденційні платіжні дані, тому ініціювала повний аудит безпеки через зростання кіберзагроз, спроби шахрайства та необхідність відповідності PCI DSS.

    Метою проєкту став пошук потенційних недоліків у кіберзахисті платіжній системі, перевірка безпеки інфраструктури та підготовка до сертифікації.
     
    • Провести black-box пентест та оцінку безпеки платіжної системи (вебдодатків, серверів, бази даних і каналів комунікації)
    • Перевірити наявність вразливостей в аутентифікації та шифруванні
    • Підготувати детальний звіт з технічними рекомендаціями та планом усунення загроз
       
    icon
    Пентест
    Black-box тестування на проникнення платіжної системи
    icon
    Ідентифікація вразливостей
    Пошук та пріоритезація потенційних загроз в об’єктах проєкту
    icon
    Звіт і рекомендації
    Технічний звіт та план дій для посилення захисту та відповідності PCI DSS
    Методологія Datami: перевірка безпеки Grindset Software
    Наш підхід

    Datami провела комплексну перевірку безпеки для Grindset Software, зосередившись на ключових компонентах платіжної інфраструктури — від вебсервісів до баз даних. Особлива увага була приділена каналам передавання даних, механізмам автентифікації та шифрування.

    Для пентесту обрали black-box підхід — тестування без доступу до внутрішньої технічної документації для максимального наближення сценарію до дій потенційного зловмисника. В процесі тестування використали Metasploit, Burp Suite і Wireshark, комбінували автоматизовані та ручні методи перевірки.

     

    Black-box
    Black-box
    Стратегія перевірки захищеності системи, яка полягає в імітації атаки без доступу до внутрішніх даних.
    Ключові етапи роботи та рішення

    У межах проєкту команда Datami зосередилася на повному аудиті платіжної системи Grindset Software, що включала платіжний процесор, вебсервіси, бази даних і комунікаційні канали.

    В процесі тестування було вирішено зміцнити заходи контролю доступу та оновити програмного забезпечення. 

    Основні етапи проєкту:

     

    • Підготовка
      Огляд документації, вивчення системної архітектури, визначення критичних компонентів і підготовка сценаріїв.
    • Тестування
      Проведення black-box пентесту з використанням автоматизованих і ручних методів та застосуванням інструментів Metasploit, Burp Suite і Wireshark.
    • Аналіз і звіт
      Формування технічного звіту з описом 15 вразливостей та рекомендаціями щодо їх усунення та покращення безпеки для відповідності стандартам PCI DSS.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації
    Результати та рекомендації

    На початку проєкту платіжна інфраструктура Grindset Software мала високі ризики: незахищені канали передачі даних і слабкі механізми автентифікації створювали загрозу витоку фінансової інформації. 

    Під час пентесту Datami виявила 15 вразливостей: 5 критичних (включно з можливістю доступу до платіжного процесора) і 10 середніх. 

    Складність системи вимагала спеціальних заходів безпеки та нових методів контролю доступу і захисту даних. 

    Grindset Software отримала чіткі рекомендації:

    1. впровадження двофакторної автентифікації;
    2. оновлення програмного забезпечення;
    3. регулярна перевірка безпеки платіжної системи.

    Після впровадження рекомендацій рівень ризику знижено до середнього: ймовірність витоку фінансових даних зменшилась на 85% — вдалося уникнути понад $500 000 потенційних фінансових втрат.

    Проєкт реалізовано за 3 тижні, а критичні вразливості виправлено протягом 48 годин.

    Наші сертифікати
    Ключові висновки проєкту

    Grindset Software спільно з Datami за 3 тижні суттєво посилила кіберзахист своєї платіжної інфраструктури: виявила всі ключові вразливості, покращила відповідність PCI DSS та захистила фінансові дані клієнтів. Усі цілі проєкту досягнуто вчасно.

    Цей кейс показує: навіть фінтех-компанії потребують регулярного пентесту для запобігання витоку даних, фінансовим і репутаційним втратам.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Високий ризик через незахищені канали
    Виявлено та усунуто 15 вразливостей, підвищено стійкість захисту на 85%
    Критичні вразливості
    Можлива атака на платіжну систему
    5 критичних усунено за 48 годин
    Компрометація акаунтів
    Потенційна через слабку автентифікацію
    Ризик знижено після впровадження двофакторної автентифікації
    Відповідність безпеці
    Часткова відповідність PCI DSS
    Повна відповідність після доопрацювань
    Строки
    Стандартно 4–5 тижнів
    Проєкт реалізовано за 3 тижні
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Пентест та захист платформи для ставок від DDoS

    Пентест та захист платформи для ставок від DDoS

    • Виявили 30 вразливостей у двох вебдодатках
    • Застосували DataGuard і Cloudflare для захисту від DDoS-атак
    Послуги:
    Black-box пентест вебдодатків, впровадження Dataguard
    Лип. 8, 2025
    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    Кейс P2P-платформи: повна перевірка безпеки та відповідності GDPR

    • Виявлено 10 вразливостей, зокрема 3 критичні
    • Підвищено відповідність GDPR, уникнуто потенційних збитків на суму до $300000
    Послуги:
    Пентест, аудит смартконтрактів, аудит безпеки коду, перевірка на SQLi, XSS, RCE, OSINT-аналіз, оцінка безпеки хмарної інфраструктури.
    Черв. 27, 2025
    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    Кейс консалтингової компанії: перевірка безпеки вебресурсів та інфраструктури

    • Виконано Black-box пентест двох вебресурсів і елементів інфраструктури
    • Виявлено 19 вразливостей: 1 критичну, 8 середніх, 7 низьких, 3 інформаційні
    Послуги:
    Black-box пентест двох вебресурсів із різними доменними зонами (UA та UK), перевірка пов'язаних елементів інфраструктури
     
    Черв. 6, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році Datami Newsroom
    Datami Newsroom

    Ворог усередині: ТОП-5 внутрішніх кіберзагроз для компаній у 2025 році

    Керівники компаній часто дуже недооцінюють внутрішні кіберзагрози, хоча саме дії працівників, навіть ненавмисні, можуть призвести до катастрофічних наслідків.

    Лип. 8, 2025 3 хв.
    ТОП-5 компаній, які відмовились сплачувати викуп хакерам Datami Newsroom
    Datami Newsroom

    ТОП-5 компаній, які відмовились сплачувати викуп хакерам

    У травні 2025 року хакери зламали Coinbase, викрали дані клієнтів та вимагали викуп. Проте криптобіржа відмовилася і звернулася до правоохоронців по допомогу. Це – лише один з прикладів боротьби компаній з кібершантажем.

    Лип. 4, 2025 3 хв.
    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися? Datami Newsroom
    Datami Newsroom

    ТОП-5 трендів кібербезпеки у 2025 році: до чого готуватися?

    Кібербезпека стикається з викликом стрімкого розвитку технологій. Щоб залишатися в тренді, потрібно не лише слідкувати за інноваціями, а й передбачати їх. Прогнозування тенденцій 2025 року допомагає зазирнути в майбутнє цифрового світу та підготуватися до змін.

    Лип. 2, 2025 3 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie