Przeprowadziliśmy kompleksowy audyt bezpieczeństwa platformy płatniczej obsługującej 200 tys. transakcji miesięcznie. Zidentyfikowaliśmy i naprawiliśmy 23 podatności zanim system trafił na produkcję.
Wyzwanie
Klient — startup fintech — przygotowywał się do launchu platformy płatniczej obsługującej przelewy i płatności kartą dla klientów biznesowych. Termin był napięty: 10 tygodni do planowanego otwarcia dla pierwszych użytkowników.
Równolegle inwestor serii A postawił warunek: niezależny audyt bezpieczeństwa z raportem przed zamknięciem rundy. Standardowy audyt zewnętrznej firmy Big4 wyniósłby 3–4 miesiące i przekroczył budżet startupu.
Dodatkową komplikacją były wymagania regulacyjne: platforma musiała spełniać PCI DSS Level 2 oraz wytyczne PSD2 dotyczące silnego uwierzytelniania (SCA). Zespół dewelopmentowy nie miał wcześniejszego doświadczenia z tymi standardami.
Rozwiązanie
Przeprowadziliśmy audyt w trzech równoległych ścieżkach, skracając czas o połowę względem podejścia sekwencyjnego.
Ścieżka 1 — statyczna analiza kodu (SAST): przeskanowaliśmy całą bazę kodu (Node.js backend, React frontend) narzędziami Semgrep i CodeQL. Zidentyfikowaliśmy 14 podatności, w tym 2 krytyczne: SQL injection w module raportowania i brak walidacji CSRF w endpointach płatności.
Ścieżka 2 — testy penetracyjne (DAST): przeprowadziliśmy testy czarnoskrzynkowe symulując atakującego zewnętrznego oraz testy szarej skrzynki z dostępem do dokumentacji API. Użyliśmy Burp Suite Pro i własnych skryptów do testowania logiki biznesowej. Znaleźliśmy m.in. podatność na IDOR w dostępie do historii transakcji.
Ścieżka 3 — przegląd architektury: oceniliśmy konfigurację AWS (IAM, Security Groups, CloudTrail), model autoryzacji i zarządzanie sekretami. Każda znaleziona podatność otrzymała ocenę CVSS, opis PoC i szczegółową rekomendację naprawy z przykładem kodu.
Wyniki
Wszystkie 23 podatności zostały naprawione w ciągu 3 tygodni od dostarczenia raportu. Przeprowadziliśmy audyt weryfikacyjny potwierdzający skuteczność poprawek.
Platforma przeszła certyfikację PCI DSS Level 2 bez żadnych uwag — pierwszy raz w historii tego QSA. Inwestor otrzymał raport w terminie, runda serii A zamknęła się zgodnie z planem.
Launch platformy odbył się w zaplanowanym terminie. W ciągu pierwszych 6 miesięcy działania nie odnotowano żadnego incydentu bezpieczeństwa. Klient wdrożył rekomendowany przez nas proces Security by Design i Security Champions w zespole dewelopmentowym.
Praca z firmami fintech na etapie pre-launch jest dla nas szczególnie wartościowa — możemy wpłynąć na architekturę i procesy zanim staną się trudne do zmiany. W tym projekcie udało nam się nie tylko znaleźć i naprawić luki, ale też zaszczepić kulturę security-first w zespole, który wcześniej traktował bezpieczeństwo jako checkbox przed wdrożeniem.
Największą satysfakcję dał nam nie raport, ale rozmowa z CTO klienta trzy miesiące po projekcie. Powiedział, że ich nowy programista podczas code review samodzielnie wyłapał podatność podobną do tej, którą znaleźliśmy w audycie. Security Champions program działa.
To projekt, który przypomina nam dlaczego warto wychodzić poza zlecenie. Mogliśmy dostarczyć suchy raport PDF i zamknąć sprawę. Zamiast tego zorganizowaliśmy warsztat dla całego zespołu deweloperskiego, omówiliśmy każdą podatność w kontekście ich konkretnego kodu i zostawiliśmy playbooki do dalszego stosowania. Taki audyt ma wartość przez lata, nie przez jeden sprint poprawek.
Chcesz podobnych wyników?
Porozmawiajmy o Twoim projekcie. Pierwsze spotkanie jest bezpłatne.