25 марта 2021, 12:00 Читати українською

Как и зачем финансисты переходят в «облако»

Все больше компаний финсектора мигрируют в онлайн. Использование облачной инфраструктуры позволяет им ускорить запуск новых продуктов и сервисов, обеспечивает конфиденциальность данных, а также помогает устранить цифровые риски и угрозы. Подробнее об этом «Минфину» рассказали руководитель международного бизнеса Tet Марис Приекулис и директор по информационным технологиям Moneyveo Григорий Лисничий.

Процесс перехода

Для развития бизнеса важна полная трансформация его IT-архитектуры. Переход в облако — достаточно быстрый и безопасный процесс. Обычно перенесение платформы компании на облачную инфраструктуру занимает до 3 дней, а период простоя в предоставлении услуг составляет не более 1,5 часа.

Конечно же, всему этому предшествует этап тщательной подготовки и тестирования новой платформы с целью обеспечения высокой производительности и должной реализации проекта. В частности, глубокая проработка рисков несанкционированного доступа к данным клиентов помогает свести к нулю возможность возникновения таких ситуаций в будущем.

Облачно-финансовая безопасность

Важной задачей для финсектора является предоставление клиентам полной безопасности и бесперебойности процессов, что гарантирует доступ к средствам и осуществление транзакций 24/7.

Безопасность облачных решений, используемых компанией, напрямую влияет на ее финансовую безопасность. Поэтому важно выбрать надежного облачного провайдера. Он должен соответствовать следующим критериям:

  • иметь сертификат PCI DSS;
  • использовать центр обработки данных уровня TIERIII;
  • предоставлять персонализированные сервисы для решения задач конкретного бизнеса.

Для чего нужен сертификат PCI DSS

Он гарантирует прохождение центром обработки данных проверки QSA (Qualified Security Assessor) и соответствие компании требованиям по безопасности при работе с данными карт клиентов. При этом финансовая компания должна обратить внимание на уровень данного сертификата и учитывать собственный общий показатель транзакций, осуществляемых за год.

Для PCI DSS предполагается четыре уровня сертификации:

  1. более 6 млн транзакций;
  2. 1−6 млн транзакций;
  3. от 20 000 до 1 млн транзакций;
  4. менее 1 млн транзакций в год.

Это означает, что для компании с ежегодными объемами более 6 млн транзакций подойдет только ЦОД с сертификатом PCI DSS уровня 1. К примеру, Moneyveo — первая украинская финансовая компания, которая получила сертификат PCI DSS Level 1, который гарантирует максимальную защиту данных банковских карт клиентов.

Также стоит обратить внимание на процесс сертификации PCI DSS, предполагающий выполнение задач по 12 пунктам. Они могут осуществляться как облачным провайдером, так и частично самим клиентом. Если же PCI DSS не покрывает какой-то из этих пунктов, клиенту придется оплатить дополнительно услуги QSA-аудитора для проверки документов и безопасности.

Кроме того, важно разделять ответственность между клиентом и центром обработки данных в случае утечки или кражи данных. Например, при потере 100 тыс. учетных записей виновной стороне придется заплатить штраф в $3,86 млн.

Читайте также: Почти 80% компаний из-за пандемии кардинально изменят клиентские стратегии

Важность SLA

Основой бизнеса в финсекторе является постоянная поддержка, хранение и обработка данных для осуществления транзакций. При передаче IT-инфраструктуры облачному провайдеру нужно грамотно составить договор об уровне сервиса (SLA), чтобы четко обозначить зоны ответственности и обязательства сторон.

Большинство европейских компаний работает только при условии подписания SLA, чтобы гарантировать получение услуг надлежащего качества и в полном объеме. Таким образом, они могут обезопасить себя от простоев и, соответственно, финансовых потерь.

Стандарт TIERIII

Все сервисы бизнеса должны работать безотказно. И стандарт TIERIII гарантирует отказоустойчивость всех систем центра обработки данных, а также надежность инфраструктуры и оборудования.

К примеру, центр обработки данных Tet Dattum имеет два сертификата — TIERIII Design и TIERIII Facility. Первый гарантирует, что его проект разработан в соответствии с принципом N + 1. Второй — построение ЦОД полностью по данному проекту: всех систем, узлов и проводов.

Экономически это затратно, потому не каждый центр обработки данных получает сразу два этих сертификата.

Неспрерывность процессов

Обеспечение непрерывности всех процессов — гарантия получения услуг и осуществления клиентами транзакций в любой момент. Внезапный или вынужденный простой в работе облачного сервиса может обернуться для компании финансовыми потерями.

Разработка планов BCP (планирование непрерывности бизнеса) и DRP (план аварийного восстановления) позволяет минимизировать риски и быстро восстановиться в случае возникновения кризисной ситуаций. Они содержат набор четких инструкций и регулярно тестируются, чтобы соответствовать актуальным требованиям бизнеса и улучшать работу инфраструктуры.

Недавний пожар в центре обработки данных OVH, в результате которого пострадали около 3,5 млн сайтов, хорошо демонстрирует важность BCP и DRP. Данные компаний, которые обрабатываются и хранятся в облаке, имеют большую ценность. И это влияет на построение IT-инфраструктуры, модели защиты данных и, соответственно, бизнеса. Обеспечение непрерывности бизнеса с обязательным регулярным тестированием DRP для всех бизнес-процессов и систем компании — основа и ключевой аспект деятельности IT.

Читайте также: Во время локдауна украинцы в 1,5 раза чаще покупают онлайн

Персонализированные решения

Еще одним важным аспектом при выборе облачного провайдера является гибкость разработки и реализации решений или услуг, соответствующих конкретному бизнесу для достижения его целей. Используя одно и то же решение, компании могут получить разный результат. Важно, чтобы провайдер мог помочь клиенту выбрать нужное для успеха его бизнеса.

Примером хорошего решения является гибридное облако, популярность которого растет из года в год. Его преимущество — гибкость затрат и используемых ресурсов для повышения эффективности бизнеса. Такое решение подразумевает объединение возможностей частного и публичного облака. Если в первом можно разместить почту, бухгалтерские системы компании, то второе служит для поддержки front-end IT-инфраструктуры, например, веб-ресурсов. В итоге использование гибридного облака дает максимальную выгоду и бизнесу, и клиенту, обеспечивая сохранность и безопасность данных на высочайшем уровне.

Использование облачных технологий в финансовом секторе открывает перед компаниями новые возможности. Они позволяют быстро адаптироваться ко всем изменениям на рынке, акцентируя внимание на актуальных процессах и используя необходимые на данный момент ресурсы. Вот почему стоит ответственно подойти к вопросу выбора облачного провайдера, чтобы обеспечить рост бизнеса и безопасность клиентов.

Комментарии - 5

+
0
bonv
bonv
25 марта 2021, 12:52
#
У нас тепер і економіка в облачку:))
+
+28
dsn
dsn
25 марта 2021, 15:34
#
Учительница ставит на стол системный блок и говорит ученикам: «Вот дети, один компьютер». Потом ставит ещё один и говорит: «Теперь смотрите, один и один, будет два». После этого ставит ещё один системный блок на стол и запыхавшись говорит: «Сколько будет два плюс один? Правильно, три! Конечно, с яблочками было легче».
+
+12
Qwerty1999
Qwerty1999
25 марта 2021, 18:00
#
Вынос бизнес-процессов и коммуникаций за пределы периметра организации и размещение их у облачного провайдера это конечно круто, но до первой
массированной DDOS-атаки…
+
0
Kroahs
Kroahs
25 марта 2021, 18:41
#
Сказочки.
+
+12
yarg
yarg
26 марта 2021, 11:41
#
Какие ДДОС атаки. зачем…
просто в какой-то момент сайт облачка дает доступ ко всем данным всех клиентов по одному паролю или еще что-то подобное. Прецеденты бывали .
И с карточных счетов клиентов Манивео пойдут списания…
Чтобы оставить комментарий, нужно войти или зарегистрироваться