Testy penetracyjne

Testy penetracyjne (Pen testy) są metodą kontrolowanego ataku na system lub aplikację, którego celem jest ocena aktualnego stanu bezpieczeństwa. Testy penetracyjne wykonujemy bez jakiejkolwiek znajomości aplikacji czy środowiska systemowego (BlackBox), z całkowitą znajomości kodu czy dokumentacji (WhiteBox) lub z częściową znajomością środowiska (GreyBox). Wybór metody jest także związany z czasem realizacji i kosztami. Najdłużej trwają i są najbardziej kosztowne testy penetracyjne BlackBox.

Do testów penetracyjnych można użyć metodyki np. OWASP (Open Web Application Security Project), która jest zbiorem praktyk bezpieczeństwa zarówno dla testów aplikacji webowych, aplikacji mobilnych czy Internetu Rzeczy (IoT) czy NIST.

Przykładowy zakres OWASP Top10 dla aplikacji webowych:

  • Injection
  • Broken Authentication
  • Sensitive Data Exposure
  • XML External Entities (XXE)
  • Broken Access Control
  • Security Misconfiguration
  • Cross-Site Scripting XSS
  • Insecure Deserialization
  • Using Components with Known Vulnerabilities
  • Insufficient Logging & Monitoring

GoTechnologies wykonuje zarówno testy bezpieczeństwa aplikacji www, aplikacji mobilnych jak i bezpieczeństwa serwerów webowych. Przykładowe testy penetracyjne:

  • Testy penetracyjne aplikacji mobilnej (Mobile)
  • Testy penetracyjne aplikacji webowej (strona internetowa, sklep internetowy, platforma SaaS)
  • Testy penetracyjne API / Webservices
  • Testy penetracyjne infrastruktury i sieci LAN
  • Testy penetracyjne aplikacji natywnych (Desktop, klient-serwer)
  • Testy penetracyjne sieci Wi-Fi
  • Testy dostępności DDOS (Distributed Denial of Service)

Certyfikaty posiadane przez zespół testowy: OSCP, OSWP, eWPT, CISPP, CISA.

Zobacz kompleksową ofertę doradczą na:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów

Audyt bezpieczeństwa aplikacji webowych metodą OWASP

Metoda testów bezpieczeństwa OWASP (Open Web Application Security Project) jest powszechnie używana w zakresie testowania aplikacji i systemów zarówno internetowych, mobilnych m.in. jako testy penetracyjne.

Przykładowe biblioteki OWASP Top10, gdzie znajdują się najpowszechniej występujące błędy w różnych typach aplikacji:

  • OWASP Top10 dla Aplikacji Webowych (internetowych)
  • OWASP Top10 dla Internetu Rzeczy (IoT)
  • OWASP Top10 dla Aplikacji Mobilnych
  • OWASP Top10 dla Aplikacji Serverless

Przykładowy zakres OWASP Top Ten dla aplikacji webowych:

  • Injection
  • Broken Authentication
  • Sensitive Data Exposure
  • XML External Entities (XXE)
  • Broken Access Control
  • Security Misconfiguration
  • Cross-Site Scripting XSS
  • Insecure Deserialization
  • Using Components with Known Vulnerabilities
  • Insufficient Logging & Monitoring

Jeśli potrzebujesz audytu swojego systemu, aplikacji czy sieci zapraszamy do kontaktu. W ofercie mamy także audyt kodu źródłowego, audyt wydajności czy audyt RODO.

Zobacz kompleksową ofertę doradczą na:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów

Audyt Magento

Audyt Magento 1x i 2x jest audytem technologicznym sklepu internetowego analizującym stan platformy, ilość i jakość zmian, oceniający dług technologiczny, bezpieczeństwo oraz wydajność. GoTechnologies specjalizuje w technologii m.in. dla branży eCommerce.

Jesteśmy m.in. współautorem książki Technologia w eCommerce.

Przykładowy zakres Audytu Magento (Audyt sklepu internetowego):

  • Analiza Magento Core
  • Analiza code review (jakość kodu) pod kątem zgodności ze standardami wytwórczymi Magento
  • Audyt Architektury Magento
  • Ocena Maintability (łatwość konserwacji)
  • Ocena Violations (naruszenia)
  • Ocena bezpieczeństwa platformy Magento m.in. na ataki DDoS (Distributed Denial of Service) i wycieki danych
  • Ocena migracji danych z Magento 1.x do Magento 2.x
  • Ocena zastosowania dobrych praktyk dla wdrożeń Magento
  • Audyt API (Application Programming Interface)
  • Audyt PWA (Progressive Web Application)
  • Ocena hostingu Magento
  • Ocena dostawcy Magento
  • Ocena Długu technologicznego

Podsumowaniem jest raport z oceną stanu platformy Magento. Przykładowy raport z Audytu Magento zawiera:

  • Ocena Backend – Silnik Magento, code review, lista błędów – rekomendacje zmian
  • Ocena Frontend – PWA, RWD, itd. ocena prędkości ładowania się stron, ocena kodu i lista błędów – rekomendacje zmian.

Zobacz więcej oferty doradztwa technologicznego dla eCommerce i Omnichannel:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów

Architektura systemów eCommerce

GoTechnologies specjalizuje się doradztwie dla eCommerce i Retail. Naszymi klientami są największe firmy eCommerce. Wspieramy organizacje w następujących obszarach:

  • Audyt i doradztwo w rozwoju systemów (eCommerce, WMS, BI, szyny danych, CRM, ERP, PIM, Retail, Mobile, marketing Automation, integracje, itd.)
  • Audyty i doradztwo Frontend i Backend.
  • Audyty wydajności systemu np. sklepu internetowego
  • Audyty eCommerce sklepów internetowych (UX, UI, ścieżka konwersji, SEO, SEM)
  • Ocenie długu technologicznego w systemach eCommerce
  • Audyt kodu źródłowego
  • Audycie procesów eCommerce oraz procesów logistyczno-magazynowych (np. projektowaliśmy procesy np. dla magazynów 12 tys m2).
  • Audyt lub wybór dostawców np. Software House

Przykładowe systemy, które audytujemy (pełna lista):

Zobacz także naszą ofertę doradczą w zakresie procesów i systemów eCommerce, Retail, Logistyki i Omnichannel:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów

Audyt Code Review (Audyt Inspekcji Kodu)

Code Review to przegląd (inspekcja) kodu napisanego przez programistę przez innego programistę, audytora, senor developera, architekta czy innego członka zespołu, który ma taką przypisaną rolę i kompetencje do przeprowadzenia audytu. Code Review przeprowadzamy przed dodaniem kodu do repozytorium, przed testowaniem.

Czemu ma służyć Code Review?

Code Review pozwala na zwiększenie jakości pisanego kodu poprzez ciągłe jego sprawdzania, udoskonalanie.

Jakie są wady Code Review?

Największą to czas powięcony na sprawdzanie kodu zarówno czas programistów jak i czas oddania kodu, aplikacji czy systemu na produkcję. Dlatego często code review jest wykonywany sporadycznie lub nawet bardzo rzadko.

Jakie są korzyści stosowania stałego Code Review?

  • Łatwość czytania kodu przez innych programistów – czyli łatwiejsze zmiany, łatwiejsze wprowadzenie nowych osób do zespołu, itd.
  • Świetna nauka i wymiana doświadczeń pomiędzy członkami zespołu o różnym doświadczeniu i stażu pracy nad systemem.
  • Wyłapanie błędów lub znajdywanie prostszych metod kodowania.
  • Dojrzałość systemów wymaga najlepszych standardów i praktyk, a zatem Code Review też jest potrzebny.

Audyt Code Review

GoTechnologies wykonuje Audyty oraz Doradztwo Code Review pod kątem najlepszych standardów przeglądu kodu.

Zobacz naszą ofertę na Audyt Aplikacji, Audyt kodu źródłowego, Audyt architektury systemów

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 150-ciu zadowolonych klientów

Audyt Backend

Audyty aplikacji webowych, sklepów internetowych czy systemów SaaS (Software as a Service) często dzielą się na audyt Frontend, Backend i API (Application Programming Interface). W skład takiego audytu może wchodzić audyt kodu źródłowego, audyt zastosowania najlepszych praktyk kodowania, audyt wydajności, audyt bezpieczeństwa czy audyt RODO.

Zakres audytów backend:

  • Ocena długu technologicznego związanego ze starą technologią, architekturą i konsekwencje wynikające z długu czyli zwiększające się koszty utrzymania systemu, zwiększające się koszty zmian i czasu potrzebnego na wdrożenie zmian, luki w bezpieczeństwie czy problemy wydajnościowe. Zobacz więcej o długu technologicznym
  • Ocena bezpieczeństwa systemu i aplikacji pozwala na ocenę jak nasz system jest odporny lub podatny na ataki z zewnątrz np. DoD (Denial of Service) lub DDoS (Distributed Denial of Service) czyli próby wyłączenia systemu poprzez generowanie dużego ruchu, ataki na bazy danych np. poprzez formularze czy wyciek danych np. danych osobowych. Zobacz więcej Audyt Bezpieczeństwa i Testy Penetracyjne OWASP.
  • Ocena jakości kodu i zgodności z najlepszymi praktykami kodowania. Zobacz szczegóły Audyt Code Review (inspekcji kodu) oraz Audyt Kodu Źródłowego.
  • Ocena zgodności z RODO (GDPR) – Zobacz szczegóły Audytu RODO dla aplikacji.
  • Ocena i rekomendacje w zakresie poprawy wydajności zarówno po stronie kodu źródłowego, konfiguracji serwerów jak i infrastruktury tele-informatycznej (Data Center, Cloud, serwery). Zobacz więcej o Audyt Wydajności (Testy obciążeniowe aplikacji)

Zobacz także:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 200 zadowolonych klientów

Integracja Systemów

Wraz z rozwojem biznesu czy to przez rozwój organiczny, poprzez ekspansję czy przez M&A w spółkach pojawiają się niezliczone ilości systemów, aplikacji czy narzędzi tele-informatycznych i biznesowych. Pojawiają się systemy corowe jak systemy CRM, ERP, systemy specjalistyczne jak platformy sprzedażowe (sklepy internetowe, aplikacje mobilne, marketplace, PIM, itd.), systemy HR-owe (HRIS, HCM, HRMS, CX czy LMS), systemy logistyczno-magazynowe (WMS, YMS, SCM), produkcyjne (MRP, APS), systemy marketingowe (Marketing Automation, itd.), systemy BI czy systemy raportowe oraz stare systemy, które muszą być „podtrzymywane”.

Wszystkie te systemy mogą wymieniać dane pomiędzy sobą jeśli procesy obsługiwane przez nie są zgodne z procesami w innych systemach lub dane w w systemach są podobnie opisywane lub wyliczane (jakość danych).

Systemy można integrować na wiele sposobów np. poprzez: API (ang. Application Programming Interface), szyny danych (ESB – Enterprise Service Bus) lub poprzez wymianę plików. Metodą integracji dobiera się w zależności od posiadanych systemów biznesowych, aktualnej jakości danych, szybkości wymiany danych czy bezpieczeństwa (np. transakcje biznesowe). Obecnie większość systemów posiada swoje API umożliwiające wymianę danych pomiędzy systemami.

Bardzo popularną metodą jest zastosowanie szyny danych. Szyna danych staje się punktem centralnym architektury systemów, porządkuje wymianę danych i integruje zarówno wewnętrzne systemy jak i zewnętrzne usługi. Staje się oczywiście krytyczną usługą, wymagającą stałego nadzoru, utrzymania i zmian.

Zobacz naszą ofertę doradczą w zakresie systemów:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 150-ciu zadowolonych klientów

Dlaczego IT Due Diligence jest tak ważny, oraz dlaczego tak mało funduszy VC/PE je wykonuje?

GoTechnologies jest liderem w Polsce w audytach IT Due Diligence oraz wsparciu spółek portfelowych funduszy inwestycyjnych (Venture Capital, Private Equity, Akceleratory, Inkubatory, Alfa Bridge, etc.) w rozwoju technologii. Pracujemy dla największych funduszy jak Enterprise Investors, Warsaw Equity Group, Avallon, MCI, Luma Investment, itd.

Do czego Audyt IT Due Diligence może służyć?

  • Analiza aktualnego stanu systemów i aplikacji tele-informatycznych. Ich dług technologiczny, koszty utrzymania, koszty upgradów, ich dojrzałość, integracje, architektura, bezpieczeństwo, wydajność czy skalowalność.
  • Analiza ryzyk biznesowych występujących w technologii.
  • Analiza procesów technologicznych w tym funkcjonowania działów i procesów wytwarzania oprogramowania, service desku, działu bezpieczeństwa, RODO, zarządzania projektami, itd.
  • Wsparcie zakładanej strategii rozwoju dzięki finansowaniu funduszu np. szybkiej ekspansji międzynarodowej.
  • Analiza potencjalnych kosztów IT w przyszłości.

Czy audyt IT Due Diligence jest audytem związanym z finansami?

Zdecydowani tak. Audyt IT Due Diligence często w zależności od zakresu analizuje umowy z dostawcami, współpracownikami, koszty długu technologicznego, kosztów migracji danych do nowych systemów, integracji systemów i procesów (M&A), itd. zmniejszając tym ryzyka finansowe, znajdując pola do optymalizacji oraz wskazuje potencjalnie nowe strumienie przychodów.

Ostatni przykłady fuckupu ze słabym lub brakiem Audytu IT Due Diligence

Ostatnia potencjalna kara ponad 123 mln PLN dla sieci hoteli Marriott dotyczy błędu w systemach informatycznych przejętego w 2016 roku konsorcjum hotelarskiego Starwood. Marriott kupił firmę wraz z systemami i „wyciekiem” wrażliwych danych z 2014 r. (wyciek danych wrażliwych 339 milionów gości).

Dlaczego duża część Funduszy nie wykonuje Audytów IT Due Diligence? Odpowiedzi zasłyszane:

  • Niepotrzebny koszt i tak nie wiemy czy zainwestujemy w spółkę
  • Wydaje się nam, że technologia jest OK. Trochę się na tym znamy (sic!)
  • Nie wiedziałem, że taki Audyt się wykonuje (sic!)

Skutki finansowe braku dobrego Audytu IT

  • Inwestycja finansowa powoduje zwiększenie budżetów marketingowych i zwiększenie ruchu na systemach. Systemy stają, są niewydajne, rozsną straty, reputacja oraz koszty „łatania” systemów. Rozpoczyna się także kosztowny projekt wdrożenia na szybko nowego systemu.
  • Błędy w umowach z dostawcami i braku własności np. do kodów aplikacji np. przy sprzedaży biznesu.
  • Wycieki danych i kary RODO, utrata reputacji.
  • Dług technologiczny corowego produktu, duży koszt przepisania.
  • Brak API do szybkiej i bezpiecznej integracji z partnerami i klientami.
  • itd.

Zapraszamy do kontaktu:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 300 zadowolonych klientów

Konsulting IT (Konsulting Informatyczny)

Konsulting informatyczny lub doradztwo informatyczne jest jedną z usług oferowanych na rynku przez firmy technologiczne lub firmy doradcze. Konsulting informatyczny może dotyczyć zarówno elementów strategicznych jak przygotowanie strategii rozwoju IT, wyboru dostawców systemów tele-informatycznych, wsparcia organizacji w rozwiązywaniu problemów czy optymalizacji procesów.

GoTechnologies specjalizuje się konsultingu IT zarówno na poziomie strategicznym jak i na poziomie wykonawczym. Oferujemy następujące usługi doradcze:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 150-ciu zadowolonych klientów

Ekonomia API (API Economy)

API (ang. Application Programming Interface) to termin techniczny określający możliwość skorzystania z danych, usług czy produktów oferowanych przez inne podmioty. Podmioty te są często określane jako zewnętrzni dostawcy (ang. TPP Third Party Providers). Np. sklepy internetowe korzystają z API do systemów płatności np. banków czy firm kurierskich.

Czy API to tylko interfejs? Nie, API umożliwia tworzenie strumieni przychodowych. Zobacz jeden z naszych artykułów o monetyzacji danych i nowych strumieniach przychodów. API z punktu widzenia to dostęp do danych i usług na których możemy zarobić w czysty sposób lub uatrakcyjnić naszą usługę corową np. tracking przesyłek dla firm kurierskich.

Największe korzyści z wykorzystania API

  • Nowe strumienie przychodów
  • Szybsze i szersze wprowadzenie produktu na rynek dzięki wykorzystaniu API przez partnerów i klientów
  • Uatrakcyjnienie lub wyróżnienie się na tle innych np. offlinowych usług

Na co trzeba zwrócić uwagę przy projektowaniu API

  • Model biznesowy dla API, konkurencja i jakość danych uzyskanych przez API
  • Łatwość implementacji m.in. dokumentacja API, standardy, przejrzystość
  • Bezpieczeństwo API (ataki, fraudy, RODO, etc.)

API w bankowości

Zgodnie z wymogami unijnej dyrektywy PSD2 (Payment Services Directive 2) banki zaczynają udostępniać otwarte API. Dzięki danym o kontach i użytkownikach przedsiębiorstwa z branży FinTech mogą tworzyć nowe modele biznesowe dla klientów oferując nowe lub tańsze usługi bankowe.

API w administracji publicznej

Otwarte API w administracji publicznej to podstawa przyszłych usług i systemów, oszczędność kosztów i tworzenie nowych produktów dla obywateli przez firmy zewnętrzne. Odbiorcami mogącymi korzystać z danych publicznych są osoby fizyczne, przedsiębiorstwa, jednostki administracji publicznej – centralnej i samorządu terytorialnego, organizacje pozarządowe, podmioty nauki, kultury i inne zainteresowane podmioty. Open API to przyszłość tzw. inteligentnych miast (Smart Cities).

Zapraszamy do skorzystania z naszych doświadczeń w projektach budowania i rozwoju API. Jeśli potrzebujesz strategii stworzenia API lub audytu istniejącego API (Audyt API) zapraszamy do kontaktu.

Zobacz także naszą ofertę doradczą:

Zapraszamy do kontaktu:

pfederowicz@gotechnologies.pl

Ponad 150-ciu zadowolonych klientów