Безопасность FinTech-приложений: чек-лист 2025

Базовые требования безопасности

Эти пункты обязательны для любого финтех-приложения, независимо от масштаба:

• HTTPS везде — TLS 1.3, HSTS включен, HSTS preload для критичных доменов
• Хэширование паролей — bcrypt с cost factor ≥ 12 или Argon2id
• 2FA обязательна — для входа, подтверждения платежей, изменения настроек
• Rate limiting — на всех эндпоинтах, особенно на авторизации
• Input validation — на сервере, никогда не доверяйте клиенту
• SQL injection protection — только параметризованные запросы

Требования PCI DSS

Если обрабатываете карточные данные, соответствие PCI DSS обязательно. Ключевые требования:

• Сегментация сети — CDE (Cardholder Data Environment) изолирована от остальной инфраструктуры
• Шифрование данных карт — AES-256 для хранения, TLS для передачи
• Токенизация — не храните PAN, используйте токены от платёжного шлюза
• Регулярные аудиты — ежеквартальные сканирования ASV, ежегодный аудит QSA
• Логирование — все операции с картами должны логироваться с retention 1 год

152-ФЗ: персональные данные

Для работы в России обязательно соблюдение 152-ФЗ:

• Локализация данных — ПД граждан РФ хранятся на территории России
• Согласие на обработку — явное, информированное, документируемое
• Политика конфиденциальности — публичная, актуальная, понятная
• Уведомление Роскомнадзора — при обработке ПД
• Право на удаление — процедура удаления данных по запросу

Мониторинг и реагирование на инциденты

• SIEM-система — для обнаружения аномалий в реальном времени
• Логирование — все операции, все ошибки, все входы
• Алерты — на подозрительную активность: множественные неудачные входы, необычные суммы, новые устройства
• Incident Response Plan — документированная процедура реагирования на инциденты

Наш опыт: проект Card2Card

При разработке международного платёжного приложения Card2Card мы реализовали все вышеперечисленные требования. Интеграция с VISA, Mastercard и USDT-шлюзами прошла аудит безопасности и соответствует стандартам всех четырёх регионов присутствия.