Testy penetracyjne fintech: DORA, PSD2 i zgodność bezpieczeństwa płatności

Fintechy podlegają najtwardszemu reżimowi regulacyjnemu cyberbezpieczeństwa w technologii: DORA art. 24 nakazuje coroczne pentesty, PSD2 wymaga Strong Customer Authentication (SCA), PCI-DSS Req. 11.3 obejmuje każdego, kto obsługuje dane kart. Matproof Sentinel wykonuje ukierunkowane pentesty fintech z jednoznacznym mapowaniem DORA / PSD2 / PCI-DSS, proof-of-exploit i raportami gotowymi do audytu, od 149 EUR.

Rozpocznij darmowy skan

Written by Malte Wagenbach

Founder of Matproof Security. Specialized in AI-driven penetration testing and EU compliance (DORA, NIS2, ISO 27001, SOC 2).

Last reviewed: May 17, 2026

Dlaczego fintechy podlegają najściślejszym wymaganiom pentestowym

Fintechy działają na styku wielu reżimów regulacyjnych. DORA (Digital Operational Resilience Act, obowiązuje od 17 stycznia 2025) nakazuje regularne pentesty dla wszystkich podmiotów finansowych (art. 24) oraz threat-led pentesty dla instytucji systemowych (art. 26 TLPT). PSD2 (Payment Services Directive 2) wymaga Strong Customer Authentication dla usług inicjowania płatności. PCI-DSS obejmuje każdego, kto przechowuje, przetwarza lub przesyła dane kart. Poza zgodnością fintechy są celami o wysokiej wartości: średni koszt naruszenia w usługach finansowych to 6,08 mln EUR (IBM Cost of a Data Breach Report 2024), 47% powyżej średniej branżowej. Specyficzne wzorce ataków fintech obejmują: nadużycia tokenów API (Open Banking API z niewystarczającym zakresem), race conditions w przetwarzaniu płatności, przejęcie konta przez SIM swap i obejście MFA, oraz ataki łańcucha dostaw przez API finansowe stron trzecich.

DORA art. 24 (obowiązuje od 17 stycznia 2025): obowiązkowy udokumentowany pentest dla wszystkich podmiotów finansowych, w tym posiadaczy licencji fintech, instytucji płatniczych, instytucji pieniądza elektronicznego, dostawców usług kryptoaktywów (MiCA).
DORA art. 26 TLPT: Threat-Led Penetration Testing co 3 lata dla wyznaczonych podmiotów, zwykle G-SIB, dużych instytucji płatniczych, CCP.
PSD2 RTS dla SCA: techniczne testy implementacji Strong Customer Authentication, walidacja czynników wiedzy, posiadania, cech biometrycznych.
PCI-DSS Req. 11.3: coroczne testy penetracyjne dla każdego sprzedawcy lub dostawcy usług z danymi posiadaczy kart, wymagane testy wewnętrzne i zewnętrzne.
Bezpieczeństwo API Open Banking (Berlin Group NextGenPSD2, UK Open Banking): audyt przepływu OAuth2/OIDC, zgodność FAPI 2.0, zarządzanie certyfikatami.
Race conditions w przetwarzaniu płatności: sprawdzenie salda i debit nieatomowe, double-spend wykorzystywalny na szynach płatności natychmiastowych (SCT Inst, FedNow, SEPA Instant).
Ładowanie składek ubezpieczenia cyber: fintechy bez aktualnego pentestu od 2023 podlegają wzrostowi składek o 30-50% lub odmowie pokrycia.

Co konkretnie testujemy w aplikacji fintech

Uwierzytelnianie i SCA: zgodność PSD2 RTS, implementacje MFA (TOTP, FIDO2, push notifications), odporność na SIM-swap, obejście uwierzytelniania biometrycznego.
Bezpieczeństwo API Open Banking: zgodność OAuth2 PKCE, FAPI 2.0, walidacja redirect_uri, obsługa parametru state, minimalizacja zakresu.
Race conditions w płatnościach: równoległe sprawdzenia salda, double-spend na szynach płatności natychmiastowych, weryfikacja kluczy idempotencji, kolejność transakcji.
Zapobieganie przejęciu konta (ATO): audyt procesu resetu hasła, słabość pytań bezpieczeństwa, odzyskiwanie konta przez inżynierię społeczną wsparcia.
Minimalizacja zakresu PCI-DSS: implementacja tokenizacji, segmentacja sieci między cardholder data environment (CDE) a resztą infrastruktury.
Kontrola prania pieniędzy (AML/CFT): próby obejścia KYC, czułość monitoringu transakcji, triggery raportów podejrzanej aktywności (SAR).
Integracje stron trzecich: pluginy bramki płatniczej (Stripe, Adyen), dostawcy KYC (Onfido, Jumio), API biur kredytowych (Experian, Equifax).
Bezpieczeństwo webhooków: walidacja podpisu HMAC na webhookach przychodzących (Stripe itd.), zapobieganie atakom replay z timestamp i nonce.
Logowanie i ścieżka audytu: zgodność GDPR art. 32 i DORA art. 17, weryfikacja okresu przechowywania, integralność logów (tamper-evident).
Krytyczni dostawcy (DORA art. 28): kompletność rejestru IKT stron trzecich, klauzule umowne dla testów bezpieczeństwa, strategia wyjścia.

Sample finding

Critical

Race condition w autoryzacji płatności, czyli double-spend wykorzystywalny na SCT Inst

Aplikacja fintech przetwarza SEPA Instant Credit Transfers (SCT Inst) z nieatomową sekwencją sprawdzenia salda i debitu. Test wykazał race condition: wysyłając dwa równoległe żądania płatności z tym samym kontem źródłowym i kwotą (każde 99% dostępnego salda), obie transakcje zakończyły się sukcesem, skutkując ujemnym saldem około -98% oryginalnego salda. Atak wymaga jedynie standardowego uwierzytelnionego dostępu API. Proof-of-exploit: zeskryptowane równoległe żądania w Pythonie osiągnęły double-spend w 12 z 15 prób z 50ms oknem czasowym. Podatność mogłaby umożliwić systematyczną ekstrakcję środków dla każdego użytkownika z dostępem API.

Fix: Działanie natychmiastowe (priorytet 1): wdrożenie atomowego sprawdzenia salda i debitu używającego SELECT FOR UPDATE w tej samej transakcji bazodanowej lub wzorca rezerwacji salda z TTL. Użyj poziomu izolacji bazy danych SERIALIZABLE dla operacji płatności. Wdróż klucze idempotencji per transakcja. Dodaj rate limiting per użytkownik (max N równoległych żądań płatności). Dodaj alert monitoringu dla ujemnych sald wykrytych w pierwszych 5 minutach. Audytuj logi wszystkich transakcji z ostatnich 90 dni, by zidentyfikować potencjalnie wykorzystane przypadki.

Reference: OWASP A04:2021 Insecure Design · CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization · DORA art. 24 · PSD2 RTS on SCA · ISO 27001:2022 A.8.29

Porównanie opcji pentestu fintech

—	Free scan	Matproof Sentinel	Traditional consultancy
Automated scan engine	✓ (3-min preview)	✓ Full scan	✗ Manual only
OWASP Top 10 coverage	Partial	✓ Complete	✓ Complete
Proof-of-exploit evidence	✗	✓ Per finding	✓ Per finding
Regulatory mapping (DORA/NIS2/ISO 27001)	✗	✓ Automated	✓ Manual
Audit-ready PDF report	✗	✓ Instant	✓ 2–4 weeks delivery
Continuous / recurring scans	✗	✓ Per deploy	✗ Annual engagement
Time to first result	~3 min	~30 min full scan	2–4 weeks
Price	€0	From €149	€8,000–€25,000
Source code review (SAST)	✗	✓ On Growth plan	✓ Scoped engagement
API testing (REST/GraphQL)	✗	✓ Automated	✓ Manual

Pakiety pentestów fintech

Single Run

€149 one-time

1 full pentest scan
AI-prioritized findings with CVSS 3.1
Proof-of-exploit per finding
Audit-ready PDF report
Regulatory mapping (DORA, NIS2, ISO 27001)

Unlimited scans (up to 3 domains)
Continuous monitoring
CI/CD integration (GitHub, GitLab)
All regulatory mappings
Priority support

Start Starter →

Growth

€799 / month

Unlimited scans + domains
Authenticated / White-Box testing
API & cloud infrastructure tests
Dedicated security account manager
24h SLA response time

Contact for Growth →

Najczęściej zadawane pytania o pentest fintech

Czy Matproof Sentinel jest akceptowany dla audytów DORA art. 24?

Tak. Nasz raport zawiera jednoznaczne mapowanie DORA art. 24 dla wymogu testowania technicznego. Właściwy organ (krajowy nadzór, BaFin w DE, ACPR we FR itd.) sprawdza dokumentację pentestu fintech w trakcie regularnego nadzoru. Dla DORA art. 26 TLPT (wymagane tylko dla wyznaczonych podmiotów) Matproof Sentinel nie zastępuje testu red-team akredytowanego przez EBC, ale może uzupełniać go o ciągłe pokrycie między 3-letnimi cyklami.

Czy testujecie PSD2 Strong Customer Authentication (SCA)?

Tak. Testujemy wszystkie trzy czynniki SCA (wiedza, posiadanie, cechy biometryczne), próby obejścia (przechwycenie SMS, SIM swap, push notification fatigue, brute-force OTP) oraz implementację wyjątków PSD2 RTS (niskie kwoty, cykliczne, zaufani beneficjenci). Dla Open Banking testujemy zgodność FAPI 2.0.

Czy obejmujecie PCI-DSS Req. 11.3 testy wewnętrzne i zewnętrzne?

Tak. Dla fintechów w zakresie PCI-DSS pokrywamy oba: testy zewnętrzne (ataki na perymetr) i wewnętrzne (scenariusz zakładanego naruszenia, segmentacja sieci między CDE a resztą). Nasz raport dostarcza wyników w stylu ASV oraz głębszych uwierzytelnionych testów wymaganych przez Req. 11.3.

Jaki jest typowy zakres i harmonogram pentestu fintech?

Typowy zakres: API gateway, backend aplikacji mobilnej, dashboard admin web, integracje bramki płatniczej, portal klienta. Harmonogram: skan automatyczny 60-90 min, pełny raport gotowy do audytu w ciągu 24 godzin. Dla złożonych fintechów z mikrousługami: 3-4 godziny skanowania + 24h raportowania.

Jak obsługujecie integrację z naszym dostawcą płatności (Stripe, Adyen)?

Testujemy warstwę integracji między waszą aplikacją a dostawcą płatności: walidację podpisu webhooków, idempotencję, obsługę błędów, minimalizację zakresu PCI-DSS (tokenizację). Nie testujemy samych Stripe/Adyen (są to certyfikowani dostawcy usług PCI-DSS Level 1).

Czy pentest może spowodować przestój w produkcyjnym przetwarzaniu płatności?

Minimalne ryzyko. Skany automatyczne są pół-intruzywne (brak prawdziwego DoS, brak destrukcyjnych payloadów). Dla środowisk produkcyjnych o wysokiej wartości rekomendujemy testowanie na staging o identycznej konfiguracji. Nasze ubezpieczenie odpowiedzialności zawodowej (5 mln EUR) pokrywa przypadkowe zakłócenia.

Czy zapewniacie wsparcie remediation po pentest?

Tak, w planach Starter (299 EUR/mc) i Growth (799 EUR/mc). Krytyczne ustalenia otrzymują bezpośredni telefon w ciągu 2 godzin roboczych. Plan Growth zawiera 30 dni doradztwa remediation z inżynierem bezpieczeństwa Matproof. Re-test w cenie po remediation, by zweryfikować naprawy.

Jak pentest wspiera nasz wniosek o ubezpieczenie cyber?

Nasz raport jest zorganizowany tak, by odpowiadać na wszystkie standardowe kwestionariusze ubezpieczeń cyber (Hiscox, Beazley, AIG, AXA XL): udokumentowane testy penetracyjne, proces zarządzania podatnościami, szyfrowanie at rest/transit, kontrola dostępu, reakcja na incydent. Aktualny pentest Matproof Sentinel zmniejsza ładowanie składek fintech o 20-40% wg informacji brokerów.

Go deeper — related blog articles

Twój fintech gotowy do audytu w kilka minut

Pierwszy skan w 3 minuty, kompletny pentest fintech w 60-90 minut z jednoznacznym mapowaniem DORA art. 24 / PSD2 / PCI-DSS. Raport gotowy do audytu od 149 EUR.