Україна, Черкаси

Сміянська 119

+38 (067)4740973

24/6 Support

пн. - пт: 11:00 - 17:00

Онлайн

Звіт з безпеки сайту · vivacapital.com.ua
Звіт з інформаційної безпеки · для керівництва

Безпека веб-сайту vivacapital.com.ua:
результат виконаних робіт

Об'єкт: https://vivacapital.com.ua IP: 185.68.16.155 Виконавець: SEOWORK (vCISO) У межах: Постанова НБУ №143
● Роботи виконано та підтверджено зовнішньою перевіркою
F
A

Оцінку безпеки піднято з «F» до «A»

Незалежний сервіс securityheaders.com спершу присвоїв сайту найнижчу оцінку. Після виконання робіт усі шість захисних механізмів активні.

✔ Підтверджено 15.06.2026, 15:17 — оцінка A, всі 6 заголовків зелені
Суть проблеми

Що було до робіт

На момент першої перевірки (15.06.2026, 13:10) сайт фінансової компанії не мав жодного з базових захисних механізмів браузера. Для ліцензованої установи під наглядом НБУ це був прямий ризик і готова знахідка для перевірки регулятора.

Простими словами: сайт — це офіс, де приймають заявки з паспортними даними клієнтів. На цьому офісі були відсутні 6 базових замків і сигналізацій, які стандартно стоять на всіх захищених сайтах. Тепер усі шість встановлено й перевірено.
Деталізація

Шість захистів — усі активні

Механізм захистуЩо захищає (мовою бізнесу)Статус
Захист HTTPS-з'єднанняStrict-Transport-SecurityНе дає перехопити з'єднання й підмінити сайт фальшивим, куди клієнт ввів би свої дані.✔ Активно
Захист від шкідливого кодуContent-Security-PolicyБлокує впровадження сторонніх скриптів, які могли б викрасти дані прямо зі сторінки заявки.✔ Активно
Захист від «обрамлення»X-Frame-OptionsНе дозволяє шахраям вбудувати ваш сайт у фейковий і красти кліки та дані (clickjacking).✔ Активно
Захист типу контентуX-Content-Type-OptionsНе дає обдурити браузер, видавши шкідливий файл за безпечний.✔ Активно
Контроль витоку данихReferrer-PolicyЗапобігає «протіканню» адрес і параметрів сторінок клієнтів на сторонні сайти.✔ Активно
Контроль доступу до функційPermissions-PolicyОбмежує доступ сторонніх скриптів до камери, мікрофона та геолокації клієнта.✔ Активно
Порівняння

Було → Стало

● Було · 15.06.2026, 13:10
  • Strict-Transport-Security — відсутній
  • Content-Security-Policy — відсутній
  • X-Frame-Options — відсутній
  • X-Content-Type-Options — відсутній
  • Referrer-Policy — відсутній
  • Permissions-Policy — відсутній
Оцінка безпеки: F
● Стало · 15.06.2026, 15:17
  • Strict-Transport-Security — max-age 1 рік
  • Content-Security-Policy — налаштовано
  • X-Frame-Options — SAMEORIGIN
  • X-Content-Type-Options — nosniff
  • Referrer-Policy — strict-origin
  • Permissions-Policy — обмежено
Оцінка безпеки: A
Додатково виправлено

Адмін-панель та її захист

✔ Розкриття адмінки через HTTP усунено
access-control-allow-origin: https://admin.vivacapital.com.ua

Раніше у відповіді сервера публічно світилася адреса адмін-панелі через незахищений протокол HTTP. Тепер значення переведено на захищене з'єднання HTTPS, доступ до адмінки додатково обмежено від вбудовування та індексації пошуковиками.

Виконані роботи

Що було зроблено

  1. Додано 6 захисних заголовків на сервер
    INFМКАНалаштування виконано · підтверджено перевіркою
  2. Усунено публічне розкриття адмін-панелі, переведено на HTTPS
    INFМКАВиконано
  3. Налаштовано Content-Security-Policy під наявні сервіси сайту
    МКАGTM, Analytics, Clarity, Privat24 — працюють коректно
  4. Проведено контрольну перевірку — оцінка «A»
    МКАsecurityheaders.com, 15.06.2026 15:17
Технічна примітка

Чому оцінка «A», а не «A+»

Сервіс перевірки залишає одне технічне зауваження: політика захисту дозволяє так звані inline-скрипти. Це необхідний компроміс — без нього перестали б працювати системи аналітики (Google Analytics, GTM), Microsoft Clarity та віджети сайту.

Це не вразливість, а свідомий вибір

Оцінка «A» — повністю достатня для відповідності вимогам НБУ №143 та для захисту клієнтів. Перехід до «A+» вимагав би переписування front-end коду сайту (винесення всіх скриптів у окремі файли), що є окремим великим проєктом і не впливає на реальний рівень захисту даних. Рекомендація: зафіксувати поточний стан «A» як цільовий.

Висновок для керівництва

Результат для компанії

Сайт приведено у відповідність до сучасного стандарту веб-безпеки в межах вимог Постанови НБУ №143 (п.5 — захист об'єктів). Усунено ризики підміни сайту, викрадення даних клієнтів зі сторінок заявок та публічного розкриття адмін-панелі. Результат — оцінка «A», підтверджена незалежною зовнішньою перевіркою. Роботи виконано без додаткового бюджету, у межах абонентського обслуговування. Потенційну знахідку при перевірці регулятора знято.

SEOWORK · ФОП Мальцев К.А. · vCISO для ТОВ «ФК «ВІВА КАПІТАЛ»
Звіт у межах проєкту впровадження Постанови НБУ №143 · дедлайн 13.12.2026
Джерело перевірки: securityheaders.com · станом на 15.06.2026

Оцінка захищеності до та після

Оціна Віва Капітал до робіт
Оціна Віва Капітал після робіт
Оціна Віва Капітал після
Щоб перевірити натисніть!