+380996133328 [email protected]
ua
ua

Тестування безпеки платіжної системи для PCI DSS

Клієнт:
Grindset Software — міжнародна компанія-розробник програмного забезпечення для обробки платежів і управління транзакціями
 
Галузь:
Розробка програмного забезпечення
Фокус:
Захист фінансових даних клієнтів і відповідність стандарту PCI DSS
Основний виклик:
Виявлення та усунення вразливостей у платіжній інфраструктурі
 
Ринок:
Міжнародний
Надані послуги:
Black-box пентест вебдодатків, серверів і мережі
Ключові висновки
  • Досягнуто відповідності PCI DSS завдяки пентесту та звітності
  • Підвищено стійкість платіжної системи на 85%
  • Виявлено 15 вразливостей; 5 критичних усунено за 48 годин
  • Проведено black-box пентест ключових компонентів платіжної системи
    • 15
    вразливостей виявлено
    85%
    підвищення стійкості до кібератак
    48
    годин час усунення вразливостей
    Тестування безпеки платіжної системи для PCI DSS
    Трав. 30, 2025
    14 хв.
    Чи може одна вразливість у платіжній системі коштувати $500,000? Grindset Software вирішила не ризикувати та звернулася до Datami для перевірки безпеки платіжної системи. Ми провели black-box пентест та виявили 15 вразливостей. У результаті компанія підвищила стійкість до атак та підготувалась до сертифікації PCI DSS.

    Grindset Software — міжнародна ІТ-компанія, яка створює програмні рішення для фінансових сервісів. Основний фокус — платіжні системи та обробка транзакцій для бізнесу. Щодня тисячі користувачів взаємодіють із вебплатформою компанії для проведення платежів. 

    Grindset працює у високоризиковій галузі фінансових технологій і повинна дотримуватися міжнародних стандартів PCI DSS, тому кіберзахист для неї критично важливий

     

    Завдання та виклики
    Grindset Software обробляє конфіденційні платіжні дані, тому ініціювала повний аудит безпеки через зростання кіберзагроз, спроби шахрайства та необхідність відповідності PCI DSS.

    Метою проєкту став пошук потенційних недоліків у кіберзахисті платіжній системі, перевірка безпеки інфраструктури та підготовка до сертифікації.
     
    • Провести black-box пентест та оцінку безпеки платіжної системи (вебдодатків, серверів, бази даних і каналів комунікації)
    • Перевірити наявність вразливостей в аутентифікації та шифруванні
    • Підготувати детальний звіт з технічними рекомендаціями та планом усунення загроз
       
    icon
    Пентест
    Black-box тестування на проникнення платіжної системи
    icon
    Ідентифікація вразливостей
    Пошук та пріоритезація потенційних загроз в об’єктах проєкту
    icon
    Звіт і рекомендації
    Технічний звіт та план дій для посилення захисту та відповідності PCI DSS
    Методологія Datami: перевірка безпеки Grindset Software

    Наш підхід

    Datami провела комплексну перевірку безпеки для Grindset Software, зосередившись на ключових компонентах платіжної інфраструктури — від вебсервісів до баз даних. Особлива увага була приділена каналам передавання даних, механізмам автентифікації та шифрування.

    Для пентесту обрали black-box підхід — тестування без доступу до внутрішньої технічної документації для максимального наближення сценарію до дій потенційного зловмисника. В процесі тестування використали Metasploit, Burp Suite і Wireshark, комбінували автоматизовані та ручні методи перевірки.

     

    Black-box

    Black-box

    Стратегія перевірки захищеності системи, яка полягає в імітації атаки без доступу до внутрішніх даних.
    Ключові етапи роботи та рішення

    У межах проєкту команда Datami зосередилася на повному аудиті платіжної системи Grindset Software, що включала платіжний процесор, вебсервіси, бази даних і комунікаційні канали.

    В процесі тестування було вирішено зміцнити заходи контролю доступу та оновити програмного забезпечення. 

    Основні етапи проєкту:

     

    • Підготовка
      Огляд документації, вивчення системної архітектури, визначення критичних компонентів і підготовка сценаріїв.
    • Тестування
      Проведення black-box пентесту з використанням автоматизованих і ручних методів та застосуванням інструментів Metasploit, Burp Suite і Wireshark.
    • Аналіз і звіт
      Формування технічного звіту з описом 15 вразливостей та рекомендаціями щодо їх усунення та покращення безпеки для відповідності стандартам PCI DSS.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    На початку проєкту платіжна інфраструктура Grindset Software мала високі ризики: незахищені канали передачі даних і слабкі механізми автентифікації створювали загрозу витоку фінансової інформації. 

    Під час пентесту Datami виявила 15 вразливостей: 5 критичних (включно з можливістю доступу до платіжного процесора) і 10 середніх. 

    Складність системи вимагала спеціальних заходів безпеки та нових методів контролю доступу і захисту даних. 

    Grindset Software отримала чіткі рекомендації:

    1. впровадження двофакторної автентифікації;
    2. оновлення програмного забезпечення;
    3. регулярна перевірка безпеки платіжної системи.

    Після впровадження рекомендацій рівень ризику знижено до середнього: ймовірність витоку фінансових даних зменшилась на 85% — вдалося уникнути понад $500 000 потенційних фінансових втрат.

    Проєкт реалізовано за 3 тижні, а критичні вразливості виправлено протягом 48 годин.

    ПІДТВЕРДЖЕНА ЕКСПЕРТНІСТЬ КОМАНДИ DATAMI

    Наші сертифікати

    Datami – компанія з кібербезпеки, кваліфікація якої підтверджена 26 сертифікаціями та міжнародними стандартами. Це дозволяє нам виконувати завдання різної складності, дотримуючись вимог до безпеки, конфіденційності та етичних практик.
    Ключові висновки проєкту

    Grindset Software спільно з Datami за 3 тижні суттєво посилила кіберзахист своєї платіжної інфраструктури: виявила всі ключові вразливості, покращила відповідність PCI DSS та захистила фінансові дані клієнтів. Усі цілі проєкту досягнуто вчасно.

    Цей кейс показує: навіть фінтех-компанії потребують регулярного пентесту для запобігання витоку даних, фінансовим і репутаційним втратам.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Високий ризик через незахищені канали
    Виявлено та усунуто 15 вразливостей, підвищено стійкість захисту на 85%
    Критичні вразливості
    Можлива атака на платіжну систему
    5 критичних усунено за 48 годин
    Компрометація акаунтів
    Потенційна через слабку автентифікацію
    Ризик знижено після впровадження двофакторної автентифікації
    Відповідність безпеці
    Часткова відповідність PCI DSS
    Повна відповідність після доопрацювань
    Строки
    Стандартно 4–5 тижнів
    Проєкт реалізовано за 3 тижні
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Топ-3 галузей з найбільшою кількістю критичних вразливостей у кібербезпеці (з практики Datami) Олександр Філіпов
    Олександр Філіпов
    Топ-3 галузей з найбільшою кількістю критичних вразливостей у кібербезпеці (з практики Datami)

    А ви знаєте, в якій галузі найбільше критичних ризиків у кібербезпеці? Ми проаналізували результати проєктів Datami і визначили три індустрії, де в середньому на один проєкт виявили найбільше критичних вразливостей.

    Бер. 31, 2026 15 хв.
    Топ-4 найвразливіших галузей за версією Datami Олександр Філіпов
    Олександр Філіпов
    Топ-4 найвразливіших галузей за версією Datami

    Чи залежить рівень кіберризиків від галузі? Datami проаналізувала зв’язок між кількістю вразливостей і сферою діяльності компаній та визначила топ галузей із найбільшою концентрацією слабких місць.

    Бер. 27, 2026 10 хв.
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов
    Олександр Філіпов
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Показати всі статті
    Замовте консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie