Розробка сайту банку на 1С-Бітрікс
Сайт банку — не вітрина, а робочий інструмент продажу фінансових продуктів. Клієнт приходить порівняти ставки, розрахувати платіж, подати заявку на кредит — і все це має відбутися без звонка в call-center. 1С-Бітрікс надає готову інфраструктуру для такого проекту: інфоблоки під каталог продуктів, модуль веб-форм для заявок, вбудовані механізми кешування для даних валютних курсів, а головне — сертифіковану безпеку на рівні «Веб-оточення».
Каталог банківських продуктів
Структуру каталогу будуємо на інфоблоках з чітким поділом за типами: депозити, кредити, дебетові та кредитні карти, розрахунково-касове обслуговування. Кожен тип — окремий інфоблок або розділ інфоблока з набором властивостей, специфічних для продукту.
Для депозитів це мінімальна сума, період розміщення, процентна ставка (з градацією за сумою та періодом — властивість типу «таблиця» або пов'язаний Highload-блок), можливість поповнення та часткового зняття, капіталізація. Для кредитів — діапазон сум, термін, ставка, вимоги до позичальника, забезпечення. Для карт — тип платіжної системи, кешбек, вартість обслуговування, льготний період.
Фільтрація реалізується через компонент catalog.smart.filter з доробкою шаблону під банківську специфіку — повзунки для сум та термінів, чекбокси для опцій.
Калькулятори банківських продуктів — ключовий конверсійний елемент
Калькулятор — це те, заради чого клієнт затримується на сайті. Реалізація на фронтенді через JavaScript з серверною валідацією результатів.
Калькулятор депозитів. На вході: сума, термін, щомісячне поповнення. На виході: підсумкова сума з процентами, графік нарахування по місяцях. Формула залежить від типу капіталізації — прості відсотки або складні з щомісячним/щоквартальним нарахуванням. Ставки підтягуємо з властивостей інфоблока через AJAX-запит до кастомного контролера, щоб при зміні умов продукту калькулятор автоматично перераховувався.
Калькулятор кредитів. Ануїтетний та диференційований платіж — два режими розрахунку. Формула ануїтету:
P = S × (r × (1 + r)^n) / ((1 + r)^n − 1)
де S — сума кредиту, r — місячна ставка, n — кількість місяців. Результат: щомісячний платіж, переплата за весь термін, графік платежів з розбивкою на тіло та відсотки. Графік виводимо таблицею з можливістю завантажити PDF — використовуємо серверну генерацію через бібліотеку TCPDF, що викликається AJAX-запитом.
Калькулятор іпотеки відрізняється врахуванням первинного внеску, страховки та можливості дострокового погашення. Додаємо поле «материнський капітал» з фіксованою сумою, що вираховується з тіла кредиту.
Всі калькулятори закінчуються кнопкою «Залишити заявку» — дані розрахунку передаються в форму попередньо заповненими.
Онлайн-заявка на кредит та карту
Багатокрокова форма на базі компонента form.result.new з кастомним шаблоном. Кроки:
- Параметри продукту — сума, термін (попередньо заповнені з калькулятора)
- Персональні дані — ПІБ, дата народження, паспорт, ІПН
- Фінансова інформація — місце роботи, стаж, дохід
- Контакти та погодження — телефон, email, погодження на обробку ПД (обов'язковий чекбокс)
Валідація на кожному кроці — і клієнтська, і серверна. Після відправки дані записуються в CRM Bitrix24 через REST API (метод crm.lead.add) або безпосередньо в АБС банку через проміжний API-шлюз. Статус заявки доступний клієнту в особистому кабінеті за номером заявки.
Валютні курси
Парсинг щоденної XML-виписки ЦБ РФ (https://www.cbr.ru/scripts/XML_daily.asp) через агент Бітрікс, що виконується кожні 30 хвилин. Результат записується в Highload-блок з полями: код валюти, номінал, курс, дата. Кешування компонента виводу — CACHE_TIME 1800 секунд, CACHE_TYPE «А» (автоматичне). На фронтенді — таблиця з основними валютами (USD, EUR, CNY) та динаміка за тиждень/місяць через графік на Chart.js.
Окрема сторінка з архівом курсів та конвертером валют — проста JS-форма, що підтягує актуальні курси з того самого Highload-блока.
Відділення та банкомати на карті
Highload-блок з полями: назва, тип (відділення/банкомат/термінал), адреса, координати (широта, довгота), години роботи, доступні послуги. При кількості точок понад 500 обов'язкова кластеризація маркерів на Яндекс.Картах через ymaps.Clusterer — інакше карта гальмує на мобільних.
Фільтрація за типом точки та послугами (видача готівки, прийом платежів, обмін валюти). Геолокація користувача через navigator.geolocation для автоматичного центрування карти та сортування списку за відстанню.
Відповідність ФЗ-395 та вимогам ЦБ
Федеральний закон «Про банки та банківську діяльність» та вказівки Центробанку зобов'язують розміщувати на сайті:
- Ліцензію та установні документи
- Фінансову звітність (щоквартальну та річну)
- Тарифи за всіма продуктами в актуальній редакції
- Інформацію про систему страхування вкладів
- Реквізити та контактні дані
Під це створюємо розділ «Розкриття інформації» з інфоблоком документів. Властивості: тип документа, дата публікації, файл (PDF). Важливо — документи мають бути доступні без авторизації та індексуватися пошуковиками. Налаштовуємо права доступу на рівні інфоблока: читання — для всіх, редагування — тільки для групи «Compliance».
Безпека сайту банку — другий пріоритет після функціональності
Сайт банку — мішень для атак. Підхід до безпеки багаторівневий.
Content Security Policy (CSP). Налаштовуємо заголовки через .htaccess або nginx-конфіг. Політика default-src 'self' з явними винятками для CDN, API карт, платіжних віджетів. Inline-скрипти заборонені — використовуємо nonce для Бітрікс-компонентів, що генерують вбудований JS. Це ламає частину стандартних шаблонів — перезбираємо їх з виносом скриптів у зовнішні файли.
HTTP Strict Transport Security (HSTS). Заголовок Strict-Transport-Security: max-age=31536000; includeSubDomains; preload. Перед увімкненням перевіряємо, що всі піддомени (CDN, API, пошта) працюють через HTTPS — інакше відвалиться.
Проактивна захист Бітрікс. Включаємо всі модулі: веб-антивірус, контроль активності, захист від DDoS (ліміт запитів), двофакторна аутентифікація для адміністраторів, журнал вторгнень. Налаштовуємо стоп-лист за IP для brute-force спроб.
WAF (Web Application Firewall). Стандартний модуль «Проактивної захисту» закриває базові SQL-ін'єкції та XSS-атаки. Для банківського рівня додаємо зовнішній WAF — ModSecurity з набором правил OWASP CRS або хмарний Cloudflare WAF. Правила налаштовуємо на блокування аномальних запитів до форм заявок та API-ендпоінтів калькуляторів.
Шифрування даних. Персональні дані в БД шифруємо на рівні додатка — модуль main підтримує шифрування через CryptoProvider. Бекапи — тільки в зашифрованому вигляді. Підключення до БД — через SSL.
Аудит та моніторинг. Модуль «Журнал подій» фіксує всі дії адміністраторів. Додатково налаштовуємо відправлення алертів при: змінення файлів ядра (контроль цілісності), невдалих спробах входу понад 5 за хвилину, змінення налаштувань модулів безпеки.
Етапи розробки сайту банку
| Етап | Зміст | Термін |
|---|---|---|
| Аналітика | Аудит поточного сайту, збір вимог ЦБ, прототипи калькуляторів | 3–4 тижні |
| Дизайн | UI-кіт, адаптивні макети ключових сторінок, UX калькуляторів | 3–4 тижні |
| Верстка та фронтенд | Шаблони компонентів, калькулятори на JS, адаптив | 4–5 тижнів |
| Backend-розробка | Інфоблоки, інтеграції (API ЦБ, CRM/АБС, карти), форми заявок | 5–6 тижнів |
| Безпека | CSP, HSTS, WAF, шифрування, аудит вразливостей | 2–3 тижні |
| Тестування | Функціональне, навантажувальне, пентест | 2–3 тижні |
| Запуск та супровід | Міграція, моніторинг, навчання редакторів | 1–2 тижні |
Загальний термін — від 20 тижнів при паралельній роботі дизайну та аналітики. Банківський проект не терпить поспіху: кожен компонент проходить ревю безпеки перед продакшеном.