PZU Cash Spółka Akcyjna zarządza Portalem Cash – pierwszym na polskim rynku portalem pracowniczych benefitów finansowych z obszaru financial wellness.
Portal Cash to oferta dla pracodawców, którzy chcą udostępnić swoim pracownikom coś więcej, niż standardowy pakiet korzyści pozapłacowych. Produkty finansowe, od banków i innych podmiotów z Grupy PZU, oferowane za pośrednictwem Portalu Cash, są atrakcyjnym uzupełnieniem benefitów i świadczeń socjalnych dostępnych w zakładach pracy.
PZU Cash chce wspierać pracowników w różnych sprawach związanych z domowym budżetem dlatego oferta dostępna w Portalu odpowiada różnym potrzebom. Za pośrednictwem portalu można pożyczyć gotówkę, skonsolidować zadłużenie, wziąć kredyt hipoteczny.
Fakty i dane
Pełna nazwa
PZU Cash S.A.
Branża
Finanse
Produkty z oferty klienta
- Benefity i świadczenia socjalne dostępne w zakładach pracy
Czego oczekiwał klient?
Zadanie obejmowało przeprowadzenie testów bezpieczeństwa platformy benefitowej PZU Benefity. Ze względu na ciągłe aktualizacje oraz stały rozwój platformy, PZU zależało na zyskaniu pewności, że zabezpieczenia działają poprawnie i system jest odporny na ataki z zewnątrz. Zaproponowane rozwiązanie, elastyczność i dostępność przeważyły o tym, że PZU wybrało właśnie PBSG i nawiązało z nami współpracę.
Projekt podzieliliśmy na etapy, uwzględniające testy i retesty. Testy przeprowadziliśmy w formie zdalnej.
Co zrobiliśmy?
ZDEFINIOWALIŚMY CEL TESTÓW
W pierwszym kolejności zajęliśmy się rekonesansem, czyli sprawdziliśmy bieżący stan zabezpieczeń platformy i określiliśmy wektory ataku.
WYKONALIŚMY TESTY PENETRACYJNE
Wykonaliśmy kontrolowany atak (symulacje) na najbardziej prawdopodobne wektory ataków, które mogłyby zakłócić działanie platformy.
DOSTARCZYLIŚMY RAPORT
Przygotowaliśmy praktyczny i przejrzysty raport. Uwzględniliśmy w nim opis znalezionych luk oraz rekomendacje, jak należy z nimi postępować.
WYKONALIŚMY RETESTY
Po wykonaniu testów i usunięciu podatności przeprowadziliśmy retesty aby sprawdzić stopień poprawy zabezpieczeń platformy.
Jakie były rezultaty?
Dzięki wyspecjalizowanemu zespołowi pentesterów platforma benefitowa PZU Benefity została dokładnie sprawdzona i uodporniona na potencjalne ataki. Podczas pracy skupiliśmy się nie tylko na samym narzędziu, ale też na użytej technologii. Takie podejście zagwarantowało, że platforma została całościowo sprawdzona pod kątem bezpieczeństwa IT.
Klientowi zależało na elastyczności oraz na tym, aby nie zakłócać bieżącej pracy organizacji. Dlatego testy przeprowadziliśmy zdalnie i zgodnie z harmonogramem w taki sposób, aby otrzymać miarodajne wyniki w dość krótkim czasie. Spełniliśmy te wymagania wzorcowo.
Testy bezpieczeństwa wykonaliśmy zgodnie z najlepszymi rynkowymi praktykami, m.in.:
- OWASP Web Application Penetration Testing
- Penetration Testing Execution Standard (PTES)
- Open Source Security Testing Methodology Manual (OSSTMM)
- OWASP Top 10
Na koniec klient otrzymał praktyczny raport, w którym opisaliśmy podatności wraz ze sposobem ich wywoływania. Wskazaliśmy również sposoby na mitygację wykazanych ryzyk, czyli zmniejszenia prawdopodobieństwa ich wystąpienia.
Co zyskał klient?
Zwiększenie poziomu bezpieczeństwa platformy PZU Benefity.
Ogólną ocenę poziomu bezpieczeństwa platformy benefitowej.
Rekomendacje i listę środków zaradczych, pozwalających zaplanować działania naprawcze i wyeliminować zagrożenia.
Wzrost świadomości pracowników o potencjalnych zagrożeniach i przeciwdziałaniu im.
