Sebagai penyedia layanan pembayaran elektronik (mesin EDC), Kartuku memiliki aplikasi berbasis web, yaitu Trinity, yang memiliki peran dalam mengelola operasional mesin EDC. Trinity merupakan aplikasi kritikal karena menyimpan informasi sensitif terkait mesin EDC. Kerahasiaan, integritas, dan ketersedian data/informasi sensitif harus dapat dijaga dari segala bentuk ancaman. Penelitian ini bertujuan untuk melakukan identifikasi celah keamanan aplikasi web Trinity yang terdiri dari tiga aplikasi web yang saling terhubung yaitu, SOM4, TDS, dan KIS. Pengujian keamanan dilakukan dengan metode vulnerability assessment (VA) dan penetration testing(Pentest) secara greybox. Pengujian keamanan dilakukan dengan mengacu pada checklist OWASP Top 10 yang merupakan best practice dalam melakukan pengujian kemanan web. Setelah melakukan pengujian keamanan, dilakukan analisis log terhadap server dari aplikasi Trinity untuk melihat jejak dari serangan yang dihasilkan dari pentest. Hasil pengujian keamanan menunjukkan bahwa aplikasi Trinity memiliki kerentanan terhadap cross site scripting (XSS) dengan kategori risiko tinggi (CVSS base score 7.3), cross site request forgery(CSRF) dengan kategori risiko menengah (CVSS base score 6.8), password autocomplete dengan kategori risiko rendah (CVSS base score 3.9), dan X-Frame(clickjacking) dengan kategori risiko rendah (CVSS base score 3.9).