+380996133328 [email protected]
ua
ua

Тестування безпеки платіжної системи для PCI DSS

Клієнт:
Grindset Software — міжнародна компанія-розробник програмного забезпечення для обробки платежів і управління транзакціями
 
Галузь:
Розробка програмного забезпечення
Фокус:
Захист фінансових даних клієнтів і відповідність стандарту PCI DSS
Основний виклик:
Виявлення та усунення вразливостей у платіжній інфраструктурі
 
Ринок:
Міжнародний
Надані послуги:
Black-box пентест вебдодатків, серверів і мережі
Ключові висновки
  • Досягнуто відповідності PCI DSS завдяки пентесту та звітності
  • Підвищено стійкість платіжної системи на 85%
  • Виявлено 15 вразливостей; 5 критичних усунено за 48 годин
  • Проведено black-box пентест ключових компонентів платіжної системи
    • 15
    вразливостей виявлено
    85%
    підвищення стійкості до кібератак
    48
    годин час усунення вразливостей
    Тестування безпеки платіжної системи для PCI DSS
    Трав. 30, 2025
    14 хв.
    Чи може одна вразливість у платіжній системі коштувати $500,000? Grindset Software вирішила не ризикувати та звернулася до Datami для перевірки безпеки платіжної системи. Ми провели black-box пентест та виявили 15 вразливостей. У результаті компанія підвищила стійкість до атак та підготувалась до сертифікації PCI DSS.

    Grindset Software — міжнародна ІТ-компанія, яка створює програмні рішення для фінансових сервісів. Основний фокус — платіжні системи та обробка транзакцій для бізнесу. Щодня тисячі користувачів взаємодіють із вебплатформою компанії для проведення платежів. 

    Grindset працює у високоризиковій галузі фінансових технологій і повинна дотримуватися міжнародних стандартів PCI DSS, тому кіберзахист для неї критично важливий

     

    Завдання та виклики
    Grindset Software обробляє конфіденційні платіжні дані, тому ініціювала повний аудит безпеки через зростання кіберзагроз, спроби шахрайства та необхідність відповідності PCI DSS.

    Метою проєкту став пошук потенційних недоліків у кіберзахисті платіжній системі, перевірка безпеки інфраструктури та підготовка до сертифікації.
     
    • Провести black-box пентест та оцінку безпеки платіжної системи (вебдодатків, серверів, бази даних і каналів комунікації)
    • Перевірити наявність вразливостей в аутентифікації та шифруванні
    • Підготувати детальний звіт з технічними рекомендаціями та планом усунення загроз
       
    icon
    Пентест
    Black-box тестування на проникнення платіжної системи
    icon
    Ідентифікація вразливостей
    Пошук та пріоритезація потенційних загроз в об’єктах проєкту
    icon
    Звіт і рекомендації
    Технічний звіт та план дій для посилення захисту та відповідності PCI DSS
    Методологія Datami: перевірка безпеки Grindset Software

    Наш підхід

    Datami провела комплексну перевірку безпеки для Grindset Software, зосередившись на ключових компонентах платіжної інфраструктури — від вебсервісів до баз даних. Особлива увага була приділена каналам передавання даних, механізмам автентифікації та шифрування.

    Для пентесту обрали black-box підхід — тестування без доступу до внутрішньої технічної документації для максимального наближення сценарію до дій потенційного зловмисника. В процесі тестування використали Metasploit, Burp Suite і Wireshark, комбінували автоматизовані та ручні методи перевірки.

     

    Black-box

    Black-box

    Стратегія перевірки захищеності системи, яка полягає в імітації атаки без доступу до внутрішніх даних.
    Ключові етапи роботи та рішення

    У межах проєкту команда Datami зосередилася на повному аудиті платіжної системи Grindset Software, що включала платіжний процесор, вебсервіси, бази даних і комунікаційні канали.

    В процесі тестування було вирішено зміцнити заходи контролю доступу та оновити програмного забезпечення. 

    Основні етапи проєкту:

     

    • Підготовка
      Огляд документації, вивчення системної архітектури, визначення критичних компонентів і підготовка сценаріїв.
    • Тестування
      Проведення black-box пентесту з використанням автоматизованих і ручних методів та застосуванням інструментів Metasploit, Burp Suite і Wireshark.
    • Аналіз і звіт
      Формування технічного звіту з описом 15 вразливостей та рекомендаціями щодо їх усунення та покращення безпеки для відповідності стандартам PCI DSS.
    Кібербезпека починається з дії
    Як ми можемо вам допомогти?

    Кожне прикладне дослідження кібербезпеки, яке ми розв’язуємо, передбачає глибокий аналіз, індивідуальні рішення та результати, які можна вимірювати.
    Datami вже допомогла понад 600 компаніям посилити їхній цифровий захист — і ми можемо зробити те саме для вашого бізнесу.
    Готові діяти?

    Почнемо з безкоштовної консультації!
    Результати та рекомендації

    Результати та рекомендації

    На початку проєкту платіжна інфраструктура Grindset Software мала високі ризики: незахищені канали передачі даних і слабкі механізми автентифікації створювали загрозу витоку фінансової інформації. 

    Під час пентесту Datami виявила 15 вразливостей: 5 критичних (включно з можливістю доступу до платіжного процесора) і 10 середніх. 

    Складність системи вимагала спеціальних заходів безпеки та нових методів контролю доступу і захисту даних. 

    Grindset Software отримала чіткі рекомендації:

    1. впровадження двофакторної автентифікації;
    2. оновлення програмного забезпечення;
    3. регулярна перевірка безпеки платіжної системи.

    Після впровадження рекомендацій рівень ризику знижено до середнього: ймовірність витоку фінансових даних зменшилась на 85% — вдалося уникнути понад $500 000 потенційних фінансових втрат.

    Проєкт реалізовано за 3 тижні, а критичні вразливості виправлено протягом 48 годин.

    Наші сертифікати

    Ключові висновки проєкту

    Grindset Software спільно з Datami за 3 тижні суттєво посилила кіберзахист своєї платіжної інфраструктури: виявила всі ключові вразливості, покращила відповідність PCI DSS та захистила фінансові дані клієнтів. Усі цілі проєкту досягнуто вчасно.

    Цей кейс показує: навіть фінтех-компанії потребують регулярного пентесту для запобігання витоку даних, фінансовим і репутаційним втратам.

    Напрям
    До проєкту
    Після впровадження
    Стан безпеки
    Високий ризик через незахищені канали
    Виявлено та усунуто 15 вразливостей, підвищено стійкість захисту на 85%
    Критичні вразливості
    Можлива атака на платіжну систему
    5 критичних усунено за 48 годин
    Компрометація акаунтів
    Потенційна через слабку автентифікацію
    Ризик знижено після впровадження двофакторної автентифікації
    Відповідність безпеці
    Часткова відповідність PCI DSS
    Повна відповідність після доопрацювань
    Строки
    Стандартно 4–5 тижнів
    Проєкт реалізовано за 3 тижні
    Більше історій успіху з Datami
    Перегляньте приклади інших проєктів
    Аудит Azure для державної бізнес-платформи
    Аудит Azure для державної бізнес-платформи
    • Забезпечено відповідність ISO/IEC 27001 та GDPR
    • Інфраструктуру підготовлено до запуску оновленого сайту
    Послуги:
    Аудит безпеки Azure (White-box)
    Бер. 5, 2026
    Аудит безпеки AWS для рекрутингової платформи
    Аудит безпеки AWS для рекрутингової платформи
    • Час виявлення загроз скорочено до 20 хвилин.
    • Забезпечено повну відповідність вимогам GDPR.
    Послуги:
    Оцінка безпеки хмарного середовища AWS (White-Box)
    Бер. 3, 2026
    Аутстаф-аудит безпеки мобільного додатку
    Аутстаф-аудит безпеки мобільного додатку
    • Знайдено небезпечні конфігурації та витоки даних
    • Підсилено безпеку перед запуском продукту
    Послуги:
    Лист. 20, 2025
    Повернутися на головну сторінку
    Security image
    Готові оцінити безпеку вашого проєкту?
    Звертайтеся в Datami — ми допоможемо вам визначити ризики, посилити вашу кібербезпеку та впевнено пройти сертифікацію.
    Cтатті Datami
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Типи вразливостей кібербезпеки: найпоширеніші й найкритичніші з практики Datami

    У цій статті розповідаємо про те, які є типи вразливих місць. Також на основі результатів наших проєктів ми підготували топи найпоширеніших та найкритичніших вразливостей.

    Бер. 7, 2026 15 хв.
    Davos Innovation Week 2026: крипто і безпека без компромісів Новини кібербезпеки від Datami
    Новини кібербезпеки від Datami
    Davos Innovation Week 2026: крипто і безпека без компромісів

    Команда Datami взяла участь у Davos Innovation Week 2026, який проходив 19–23 січня, та представила власну експертизу. CGO Datami Олексій Лавренчук виступив з доповіддю про трансформацію кіберризиків.

    Бер. 4, 2026 15 хв.
    Що таке розвинена тривала загроза (APT)? Олександр Філіпов – автор статей з кібербезпеки
    Олександр Філіпов – автор статей з кібербезпеки
    Що таке розвинена тривала загроза (APT)?

    Розвинені тривалі загрози (APT) – це складні кібератаки, під час яких зловмисник залишається в мережі непоміченим тривалий час. Що робити, щоб не стати жертвою APT-атаки?

    Груд. 2, 2025 15 хв.
    Показати всі статті
    Отримайте безкоштовну консультацію
    Надсилаючи цю форму, я підтверджую, що прочитав і погоджуюся з Політикою конфіденційності
    Ми цінуємо вашу конфіденційність
    Ми використовуємо файли cookie для забезпечення максимально зручного використання наших послуг, підготовки персональної реклами чи контенту, а також для аналізу нашого трафіку. Натискаючи "Прийняти все", ви погоджуєтесь на використання файлів cookie. Політика використання файлів cookie