Мобильное приложение для банка и финтеха: безопасность, KYC и платежи
Мобильное приложение для банка и финтеха — это защищённый клиент с биометрическим входом, удалённой идентификацией KYC/AML, платёжным ядром и интеграцией с НПЦ и процессингом. В Казахстане разработка такого продукта занимает от 4 до 9 месяцев и стоит от 9 000 000 ₸ в зависимости от объёма лицензируемых операций и регуляторных требований НБ РК.
Что отличает банковское приложение от обычного
Финтех-продукт работает с деньгами и персональными данными, поэтому к нему применяются требования, которых нет у каталога товаров или приложения для записи. Ошибка в авторизации или платёжной логике — это не баг, а финансовый и репутационный ущерб, а в Казахстане ещё и предмет проверок Агентства по регулированию и развитию финансового рынка (АРРФР) и Национального банка.
Ключевых отличий три. Первое — поток денежных операций должен быть идемпотентным и трассируемым: каждый перевод имеет уникальный идентификатор, не дублируется при повторной отправке и логируется для аудита. Второе — идентификация клиента (KYC) по закону «О противодействии легализации доходов». Третье — повышенный класс защиты данных и каналов, недопустимость хранения платёжных реквизитов на устройстве в открытом виде.
В отличие от прикладных отраслевых решений вроде приложения для логистики, где центр тяжести — маршруты и трекинг, в финтехе ядром выступает безопасная транзакция и её юридическая чистота.
KYC и удалённая идентификация клиента
KYC (Know Your Customer) — обязательный этап онбординга. В Казахстане удалённую идентификацию физлиц закрывает интеграция с государственными сервисами и биометрией. Базовый сценарий выглядит так:
- Документ. Сканирование удостоверения личности с распознаванием MRZ-зоны и проверкой подлинности (OCR + защитные признаки).
- Liveness и сверка лица. Подтверждение, что перед камерой живой человек, а не фото или видео, с последующим сравнением с фотографией в базе.
- Сверка с госисточниками. Проверка ИИН и статуса документа через шлюзы, в том числе биометрическую идентификацию НБ РК и сервисы цифрового правительства.
- AML-скрининг. Проверка клиента по санкционным и террористическим спискам, оценка риска и присвоение профиля.
Важно проектировать KYC как отдельный модуль с возможностью замены провайдера. Регуляторные требования и аккредитованные поставщики биометрии меняются, и жёсткая привязка к одному вендору превращает обновление в дорогостоящую переделку.
Уровни верификации
Разумная практика — ступенчатый KYC. Упрощённый уровень открывает доступ к ограниченным операциям и лимитам, полный — снимает ограничения. Это снижает отток на онбординге: пользователь начинает работу быстро, а полную идентификацию проходит, когда ему действительно нужны крупные операции.
Платёжное ядро и интеграции
Платёжный контур — самая ответственная часть. Он включает работу со счетами, переводы, оплату по QR, пополнения с карт и интеграцию с инфраструктурой казахстанского рынка.
| Компонент | Назначение | Особенность для KZ |
|---|---|---|
| Процессинг карт | Выпуск и обслуживание карт, 3-D Secure | Сертификация PCI DSS, токенизация |
| Межбанковские переводы | Переводы по номеру телефона и реквизитам | Интеграция через НПЦ / систему мгновенных платежей |
| QR-оплата | Приём и инициирование платежей по QR | Совместимость с национальной QR-схемой |
| Apple Pay / Google Pay | Токенизированная оплата | Прохождение ревью платёжных систем |
Денежные операции реализуются по принципу «не доверяй клиенту»: суммы, лимиты и комиссии считаются только на сервере, мобильное приложение лишь отображает результат. Любая операция проходит через двойную запись и сверку, чтобы баланс нельзя было рассинхронизировать обрывом связи или повторным запросом.
Безопасность: защита данных, каналов и кода
Безопасность финтех-приложения строится слоями, и ни один слой не заменяет другие.
- Аутентификация. Биометрия (Face ID / отпечаток) с привязкой к Secure Enclave / Keystore, резервный PIN, защита от перебора, привязка сессии к устройству.
- Каналы. TLS с certificate pinning, чтобы исключить перехват трафика через подменные сертификаты в публичных сетях.
- Хранение. Никаких токенов и реквизитов в открытом виде; чувствительные данные — только в защищённом хранилище ОС, серверные секреты — в HSM/KMS.
- Защита от подмены среды. Детект root/jailbreak, эмуляторов и наложений экрана, обфускация кода, защита от реверс-инжиниринга.
- Мониторинг и антифрод. Поведенческий анализ, лимиты по устройству и геолокации, флаги аномальных операций в реальном времени.
Перед запуском обязателен независимый аудит и тест на проникновение. Это требование не только здравого смысла, но и регулятора при работе с платёжными данными. Сертификация PCI DSS для контура, где касаются карточных данных, — не опция, а условие работы с процессингом.
Соответствие требованиям РК
Персональные данные казахстанцев должны храниться на территории Казахстана — это требование закона «О персональных данных». Поэтому архитектура чаще проектируется под локальное размещение в дата-центрах РК или гибридное облако с локализацией чувствительного контура. Эти ограничения закладываются на старте: перенос данных на поздних этапах стоит дороже самой разработки.
Архитектура и технологии
Для финтеха оправдан нативный фронтенд: Swift для iOS и Kotlin для Android дают полный доступ к биометрии, Secure Enclave и платёжным API без прослоек. Кроссплатформенные фреймворки допустимы для некритичных экранов, но платёжный и идентификационный контур разумнее держать на нативе.
Бэкенд строится по модульному или микросервисному принципу: отдельные сервисы для KYC, платежей, нотификаций и профиля клиента. Это позволяет масштабировать нагруженные части независимо и обновлять регуляторно-чувствительные модули без остановки всего приложения. Подход к интеграциям и работе с внешними реестрами здесь близок к тому, что применяется в приложениях для недвижимости, где также критична синхронизация с внешними базами и юридическая чистота операций.
Сроки и стоимость разработки в Казахстане
Цена зависит от того, лицензируемые ли операции вы проводите, сколько интеграций требуется и какой уровень сертификации нужен. Ориентиры по рынку KZ на 2026 год:
| Тип продукта | Срок | Стоимость |
|---|---|---|
| MVP финтех-кошелёк (вход, профиль, базовые переводы) | 3–4 мес | от 9 000 000 ₸ |
| Приложение с KYC и QR-оплатой | 4–6 мес | от 18 000 000 ₸ |
| Полноценный банк-клиент (карты, переводы, платежи, антифрод) | 6–9 мес | от 35 000 000 ₸ |
| Аудит безопасности и pentest (отдельно) | 3–5 недель | от 2 500 000 ₸ |
В смету закладывается не только разработка, но и сертификация, нагрузочное тестирование, аудит и сопровождение после релиза. Финтех-приложение — это продукт с длинным жизненным циклом, и поддержка после запуска часто стоит сопоставимо с первой версией за первый год.
Как мы работаем над финтех-проектами
Applications.kz занимается разработкой с 2007 года, на счету команды более 300 проектов на рынках Казахстана, ОАЭ и Таиланда. Финтех-проект мы начинаем с регуляторного и архитектурного аудита: фиксируем, какие операции лицензируются, какие данные подлежат локализации, какие интеграции нужны. Затем проектируем безопасный контур, собираем кликабельный прототип и только потом приступаем к коду.
Для бизнеса в южной столице у нас отдельное направление — разработка мобильных приложений в Алматы с очными встречами и сопровождением. Полный перечень компетенций и стек собран на странице разработки мобильных приложений. Обсудить задачу и получить смету можно по телефону +7 (707) 928-13-15.
Частые вопросы
Сколько стоит разработать банковское приложение в Казахстане?
MVP финтех-кошелька с базовыми переводами стартует от 9 000 000 ₸ и собирается за 3–4 месяца. Полноценный банк-клиент с картами, KYC, платежами и антифродом обходится от 35 000 000 ₸ и занимает 6–9 месяцев. Точную смету мы готовим за 24 часа после описания операций и нужных интеграций.
Что такое KYC и обязателен ли он?
KYC — это идентификация клиента перед открытием доступа к финансовым операциям. В Казахстане она обязательна по закону о противодействии легализации доходов. Удалённый KYC включает сканирование документа, liveness-проверку лица, сверку ИИН с госисточниками и AML-скрининг по санкционным спискам.
Где должны храниться данные клиентов?
Персональные данные граждан РК по закону хранятся на серверах внутри Казахстана. Поэтому архитектуру проектируют под локальное размещение в казахстанских дата-центрах либо гибридное облако, где чувствительный контур локализован. Это требование закладывается на старте проекта, а не на этапе запуска.
Нужна ли сертификация PCI DSS?
Если приложение касается карточных данных — приёма платежей, хранения или передачи реквизитов карт, — сертификация PCI DSS обязательна. Снизить её объём помогает токенизация и вынос карточного контура к сертифицированному процессингу, тогда чувствительные данные не проходят через вашу инфраструктуру.
Можно ли сделать кроссплатформенно?
Частично. Некритичные экраны — каталог продуктов, история, профиль — можно собрать кроссплатформенно. Но платёжное ядро, биометрию и KYC мы рекомендуем делать нативно на Swift и Kotlin: это даёт полный контроль над Secure Enclave, защитой каналов и платёжными API без посреднических слоёв.