Omfattande penetrationstestning för Fintech-betalningsplattform
En fintech-betalningsplattform som bearbetade ₹50Cr dagligen behövde ett omfattande penetrationstest innan den gick live med en större bankpartner. Partnern krävde en penetrationstestrapport på CREST-nivå och bevis på åtgärd innan API-anslutningen godkändes.
Klient
Confidential, Fintech Payments Client
Industri
Finansiella tjänster och fintechTeamledare
Priya Sharma
Datum
Q2 2024
Affärsutmaning
En fintech-betalningsplattform som bearbetade ₹50Cr dagligen behövde ett omfattande penetrationstest innan den gick live med en större bankpartner. Partnern krävde en penetrationstestrapport på CREST-nivå och bevis på åtgärd innan API-anslutningen godkändes.
Lösning och tillvägagångssätt
Phronex™ levererade ett komplett penetrationstest som omfattade webbapplikationer (OWASP Top 10), API-säkerhet, nätverk och infrastruktur, testning av manipulation av betalningsflöden och simulering av social ingenjörskonst. En detaljerad åtgärdsrapport med prioriterade resultat levererades inom 10 dagar.
Förmågor levererade
- Penetrationstestning av webbapplikationer (OWASP Topp 10)
- API-säkerhetstestning inklusive manipulation av betalningsflöden
- Sårbarhetsbedömning av nätverk och infrastruktur
- Social ingenjörskonstsimulering
- Åtgärdsrapport med riskprioriterade resultat
Affärsresultat
Penetrationstestet identifierade 12 brister (2 kritiska, 5 allvarliga) vilka åtgärdades inom 3 veckor. Bankpartnern godkände API-anslutningen efter bevis på åtgärd, vilket gjorde det möjligt för klienten att gå live enligt schema och börja behandla ₹50Cr dagligen från dag ett.
12
Identifierade och åtgärdade fynd
3 weeks
Fullständig sanering slutförd
₹50Cr/day
Live-bearbetningsvolym upplåst
Relaterade projekt
Hantering av molnsäkerhetsposition för SaaS-plattform
Alla 47 fynd i penetrationstestet åtgärdades inom 90 dagar, varav 23 kritiska fynd åtgärdades inom de första två veckorna. Molnsäkerhetspoängen (CIS AWS Benchmark) förbättrades från 34 % till 91 %. Ett efterföljande oberoende penetrationstest fann noll kritiska eller höga fynd.
0
Kritiska/höga fynd vid uppföljande penetrationstest
91%
CIS AWS Benchmark-efterlevnadspoäng
Dataskydds- och GDPR-granskning för digital hälsoplattform
Revisionen identifierade 34 brister i efterlevnaden, varav 8 var kritiska PHI-exponeringsrisker. Alla kritiska brister åtgärdades inom 60 dagar. Plattformen lanserade sitt EU-efterlevnadsprogram enligt tidsplanen, och inga regulatoriska förfrågningar har mottagits under 12 månaders drift.
34
Identifierade brister i efterlevnaden
60 days
Kritiska brister åtgärdade
Implementering av Enterprise Security Operations Center (SOC)
MTTD minskade från veckor till under 4 timmar, och MTTR förbättrades till under 2 timmar för nivå 1-incidenter. SOC upptäckte och begränsade 3 aktiva hot under sina första 90 dagar. Banken klarade sin nästa myndighetsgranskning med beröm för säkerhetskontroller.
<4h
Medeltid till detektion (MTTD)
<2h
Medeltid till svar (MTTR)
Omfattande penetrationstestning för Fintech-betalningsplattform
Penetrationstestet identifierade 12 brister (2 kritiska, 5 allvarliga) vilka åtgärdades inom 3 veckor. Bankpartnern godkände API-anslutningen efter bevis på åtgärd, vilket gjorde det möjligt för klienten att gå live enligt schema och börja behandla ₹50Cr dagligen från dag ett.
12
Identifierade och åtgärdade fynd
3 weeks
Fullständig sanering slutförd