Все більше компаній фінсектора мігрують в онлайн. Використання хмарної інфраструктури дозволяє їм прискорити запуск нових продуктів і сервісів, забезпечує конфіденційність даних, а також допомагає усунути цифрові ризики і загрози. Детальніше про це «Мінфіну» розповіли керівник міжнародного бізнесу Tet Маріс Прієкуліс і директор з інформаційних технологій Moneyveo Григорій Лісничий.
Як і навіщо фінансисти переходять в «хмару»
Процес переходу
Для розвитку бізнесу важлива повна трансформація його IT-архітектури. Перехід в хмару — досить швидкий і безпечний процес. Зазвичай перенесення платформи компанії на хмарну інфраструктуру займає до 3 днів, а період простою в наданні послуг становить не більше 1,5 години.
Звичайно ж, всьому цьому передує етап ретельної підготовки і тестування нової платформи з метою забезпечення високої продуктивності і належної реалізації проекту. Зокрема, глибока проробка ризиків несанкціонованого доступу до даних клієнтів допомагає звести до нуля можливість виникнення таких ситуацій в майбутньому.
Хмарно-фінансова безпека
Важливим завданням для фінсектора є надання клієнтам повної безпеки і безперебійності процесів, що гарантує доступ до коштів та здійснення транзакцій 24/7.
Безпека хмарних рішень, використовуваних компанією, безпосередньо впливає на її фінансову безпеку. Тому важливо обрати надійного хмарного провайдера. Він повинен відповідати наступним критеріям:
- мати сертифікат PCI DSS;
- використовувати центр обробки даних рівня TIERIII;
- надавати персоналізовані сервіси для вирішення завдань конкретного бізнесу.
Для чого потрібен сертифікат PCI DSS
Він гарантує проходження центром обробки даних перевірки QSA (Qualified Security Assessor) і відповідність компанії вимогам з безпеки при роботі з даними карток клієнтів. При цьому фінансова компанія повинна звернути увагу на рівень даного сертифіката і враховувати власний загальний показник транзакцій, здійснюваних за рік.
Для PCI DSS передбачається чотири рівні сертифікації:
- понад 6 млн транзакцій;
- 1−6 млн транзакцій;
- від 20 000 до 1 млн транзакцій;
- менше 1 млн транзакцій на рік.
Це означає, що для компанії з щорічними обсягами понад 6 млн транзакцій підійде тільки ЦОД з сертифікатом PCI DSS рівня 1. Наприклад, Moneyveo — перша українська фінансова компанія, яка отримала сертифікат PCI DSS Level 1, який гарантує максимальний захист даних банківських карток клієнтів.
Також варто звернути увагу на процес сертифікації PCI DSS, що передбачає виконання завдань за 12 пунктами. Вони можуть здійснюватися як хмарним провайдером, так і частково самим клієнтом. Якщо ж PCI DSS не покриває якийсь із цих пунктів, клієнтові доведеться сплатити додатково послуги QSA-аудитора для перевірки документів і безпеки.
Крім того, важливо розділяти відповідальність між клієнтом і центром обробки даних в разі витоку або крадіжки даних. Наприклад, при втраті 100 тис. облікових записів винній стороні доведеться заплатити штраф в $3,86 млн.
Читайте також: Майже 80% компаній через пандемію кардинально змінять клієнтські стратегії
Важливість SLA
Основою бізнесу у фінсекторі є постійна підтримка, зберігання і обробка даних для здійснення транзакцій. При передачі IT-інфраструктури хмарного провайдера потрібно грамотно скласти договір про рівень сервісу (SLA), щоб чітко визначити зони відповідальності та зобов'язання сторін.
Більшість європейських компаній працює тільки за умови підписання SLA, щоб гарантувати отримання послуг належної якості та в повному обсязі. Таким чином, вони можуть убезпечити себе від простоїв і, відповідно, фінансових втрат.
Стандарт TIERIII
Всі сервіси бізнесу повинні працювати безвідмовно. І стандарт TIERIII гарантує відмовостійкість всіх систем центру обробки даних, а також надійність інфраструктури та обладнання.
Наприклад, центр обробки даних Tet Dattum має два сертифікати — TIERIII Design і TIERIII Facility. Перший гарантує, що його проект розроблений відповідно до принципу N + 1. Другий — побудова ЦОД повністю за даним проектом: всіх систем, вузлів і проводів.
Економічно це затратно, тому не кожен центр обробки даних отримує відразу два цих сертифікати.
Безперервність процесів
Забезпечення безперервності всіх процесів — гарантія отримання послуг і здійснення клієнтами транзакцій в будь-який момент. Раптовий або вимушений простій в роботі хмарного сервісу може обернутися для компанії фінансовими втратами.
Розробка планів BCP (планування безперервності бізнесу) і DRP (план аварійного відновлення) дозволяє мінімізувати ризики і швидко відновитися в разі виникнення кризової ситуації. Вони містять набір чітких інструкцій і регулярно тестуються, щоб відповідати актуальним вимогам бізнесу і покращувати роботу інфраструктури.
Нещодавня пожежа в центрі обробки даних OVH, в результаті якої постраждали близько 3,5 млн сайтів, добре демонструє важливість BCP та DRP. Дані компаній, які обробляються і зберігаються в хмарі, мають велику цінність. І це впливає на побудову IT-інфраструктури, моделі захисту даних і, відповідно, бізнесу. Забезпечення безперервності бізнесу з обов'язковим регулярним тестуванням DRP для всіх бізнес-процесів і систем компанії — основа і ключовий аспект діяльності IT.
Читайте також: Під час локдауна українці в 1,5 рази частіше купують онлайн
Персоналізовані рішення
Ще одним важливим аспектом при виборі хмарного провайдера є гнучкість розробки та реалізації рішень або послуг, які відповідають конкретному бізнесу для досягнення його цілей. Використовуючи одне і те саме рішення, компанії можуть отримати різний результат. Важливо, щоб провайдер міг допомогти клієнту обрати потрібне для успіху його бізнесу.
Прикладом хорошого рішення є гібридна хмара, популярність якої зростає з року в рік. Її перевага — гнучкість витрат і використовуваних ресурсів для підвищення ефективності бізнесу. Таке рішення має на увазі об'єднання можливостей приватної і публічної хмари. Якщо в першій можна розмістити пошту, бухгалтерські системи компанії, то друга служить для підтримки front-end IT-інфраструктури, наприклад, веб-ресурсів. В результаті використання гібридної хмари дає максимальну вигоду і бізнесу, і клієнтові, забезпечуючи збереження і безпеку даних на найвищому рівні.
Використання хмарних технологій у фінансовому секторі відкриває перед компаніями нові можливості. Вони дозволяють швидко адаптуватися до всіх змін на ринку, зробивши основний акцент на актуальних процесах і використовуючи необхідні на даний момент ресурси. Ось чому варто відповідально підійти до питання вибору хмарного провайдера, щоб забезпечити зростання бізнесу та безпеку клієнтів.
Коментарі - 5
массированной DDOS-атаки…
просто в какой-то момент сайт облачка дает доступ ко всем данным всех клиентов по одному паролю или еще что-то подобное. Прецеденты бывали .
И с карточных счетов клиентов Манивео пойдут списания…